Vulnerabilidad de inyección SQL en Cisco Nexus Dashboard Fabric Controller

Recientemente, se ha descubierto una nueva vulnerabilidad en los Cisco Nexus Dashboard Fabric Controller, que podría permitir a un atacante ejecutar comandos SQL arbitrarios en dispositivos afectados asociados a la siguiente vulnerabilidad:

  • CVE-2024-20536 (CVSS 8.8): Una vulnerabilidad en la API REST y la interfaz web de Cisco Nexus Dashboard Fabric Controller permite a un atacante autenticado con privilegios de solo lectura ejecutar comandos SQL arbitrarios en un dispositivo afectado. La explotación exitosa podría comprometer la integridad, disponibilidad y confidencialidad de los datos en la base de datos interna del dispositivo. Este fallo se debe a una insuficiente validación de los datos proporcionados por el usuario.

Productos y versiones afectadas:

  • Cisco Data Center Network Manager, versiones afectadas:

12.1.2e,12.1.2p y 12.1.3b

Solución:

  • Nexus Dashboard Fabric Controller versión 12.1.3d o posterior

Recomendaciones:

  • Actualizar a las versiones más recientes de Cisco Nexus Dashboard Fabric Controller para corregir la vulnerabilidad.
  • Restringir el acceso a los endpoints afectados para minimizar el riesgo de explotación de la vulnerabilidad.
  • Implementar validación más estricta de los datos de entrada en la interfaz web y la API REST para prevenir inyecciones SQL.

Referencias: