Recientemente, se ha descubierto una nueva vulnerabilidad en los Cisco Nexus Dashboard Fabric Controller, que podría permitir a un atacante ejecutar comandos SQL arbitrarios en dispositivos afectados asociados a la siguiente vulnerabilidad:
- CVE-2024-20536 (CVSS 8.8): Una vulnerabilidad en la API REST y la interfaz web de Cisco Nexus Dashboard Fabric Controller permite a un atacante autenticado con privilegios de solo lectura ejecutar comandos SQL arbitrarios en un dispositivo afectado. La explotación exitosa podría comprometer la integridad, disponibilidad y confidencialidad de los datos en la base de datos interna del dispositivo. Este fallo se debe a una insuficiente validación de los datos proporcionados por el usuario.
Productos y versiones afectadas:
- Cisco Data Center Network Manager, versiones afectadas:
12.1.2e,12.1.2p y 12.1.3b
Solución:
- Nexus Dashboard Fabric Controller versión 12.1.3d o posterior
Recomendaciones:
- Actualizar a las versiones más recientes de Cisco Nexus Dashboard Fabric Controller para corregir la vulnerabilidad.
- Restringir el acceso a los endpoints afectados para minimizar el riesgo de explotación de la vulnerabilidad.
- Implementar validación más estricta de los datos de entrada en la interfaz web y la API REST para prevenir inyecciones SQL.
Referencias: