Data di creazione: 18/04/2024 – 10:29

Sintesi

Aggiornamenti di sicurezza Cisco sanano alcune vulnerabilità, di cui 2 con gravità “alta” presenti nell’interfaccia web e nell’interfaccia a linea di comando (CLI) del prodotto Integrated Management Controller (IMC). Tali vulnerabilità qualora sfruttate, potrebbero permettere l’esecuzione di codice arbitrario sui dispositivi interessati.

Note (Aggiornamento del 19/04/2024): il vendor afferma che un Proof of Concept (PoC) per lo sfruttamento della CVE-2024-20295 risulta disponibile in rete.

Note (Aggiornamento del 02/07/2024): il vendor afferma che un Proof of Concept (PoC) per lo sfruttamento della CVE-2024-20356 risulta disponibile in rete.

Tipologia

• Arbitrary Code Execution

Prodotti e/o versioni affette

Integrated Management Controller (IMC)

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nei bollettini di sicurezza nella sezione Riferimenti.

Identificatori univoci vulnerabilità

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:

CVE-2024-20356

CVE-2024-20295

Riferimenti

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-mUx4c5AJ

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cimc-cmd-inj-bLuPcb

https://sec.cloudapps.cisco.com/security/center/publicationListing.x 

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.