漏洞标题
N/A
漏洞描述信息
在Cisco Nexus 3000系列交换机和9000系列交换机在 standalone NX-OS 模式下的SFTP服务器实现中的一项漏洞可能导致已验证的远程攻击者从受影响设备的潜在操作系统下载或覆盖文件。
这个漏洞是由于在验证SFTP连接向受影响设备打开时验证用户角色时的逻辑错误导致的。攻击者可以通过作为有效非管理员用户通过SFTP连接进行连接和验证来利用此漏洞。成功利用此漏洞可能导致攻击者以已验证的用户权限从潜在操作系统中读取或覆盖文件。
为此,存在解决此漏洞的 workaround。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
漏洞类别
在文件访问前对链接解析不恰当(链接跟随)
漏洞标题
N/A
漏洞描述信息
A vulnerability in the SFTP server implementation for Cisco Nexus 3000 Series Switches and 9000 Series Switches in standalone NX-OS mode could allow an authenticated, remote attacker to download or overwrite files from the underlying operating system of an affected device.
This vulnerability is due to a logic error when verifying the user role when an SFTP connection is opened to an affected device. An attacker could exploit this vulnerability by connecting and authenticating via SFTP as a valid, non-administrator user. A successful exploit could allow the attacker to read or overwrite files from the underlying operating system with the privileges of the authenticated user.
There are workarounds that address this vulnerability.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N
漏洞类别
缺乏对安全的管理控制
漏洞标题
Cisco Nexus Series Switches 安全漏洞
漏洞描述信息
Cisco Nexus 3000 Series Switches是美国思科(Cisco)公司的一款3000系列交换机。 Cisco Nexus Series Switches存在安全漏洞,该漏洞源于在独立NX-OS模式下,SFTP服务器允许攻击者从底层操作系统下载或覆盖文件。受影响的产品:Cisco Nexus 3000 Series Switches和9000 Series Switches。
CVSS信息
N/A
漏洞类别
其他