一、 漏洞 CVE-2024-20284 基础信息
漏洞标题
思科NX-OS软件Python解析器脱逃漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Cisco NX-OS软件中的Python解释器存在一个漏洞,允许被认证、权限较低、本地攻击者通过逃出Python沙盒,进而未经授权访问设备底层操作系统。 该漏洞源于用户提供的输入验证不足。攻击者可以通过操纵Python解释器内的特定功能来利用此漏洞。成功利用此漏洞后,攻击者可以逃出Python沙盒,以认证用户的权限在底层操作系统上执行任意命令。 注意:为了利用这些漏洞,攻击者必须具有Python执行权限的认证。有关Python执行权限的更多信息,请参阅特定产品的文档,例如Cisco Nexus 9000系列NX-OS可编程性指南中的相应部分。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
输入验证不恰当
来源:AIGC 神龙大模型
漏洞标题
Cisco NX-OS Software Python Parser Escape Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in the Python interpreter of Cisco NX-OS Software could allow an authenticated, low-privileged, local attacker to escape the Python sandbox and gain unauthorized access to the underlying operating system of the device. The vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by manipulating specific functions within the Python interpreter. A successful exploit could allow an attacker to escape the Python sandbox and execute arbitrary commands on the underlying operating system with the privileges of the authenticated user.  Note: An attacker must be authenticated with Python execution privileges to exploit these vulnerabilities. For more information regarding Python execution privileges, see product-specific documentation, such as the section of the Cisco Nexus 9000 Series NX-OS Programmability Guide.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
保护机制失效
来源:美国国家漏洞数据库 NVD
漏洞标题
Cisco NX-OS Software 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Cisco NX-OS Software是美国思科(Cisco)公司的一套交换机使用的数据中心级操作系统软件。 Cisco NX-OS Software存在安全漏洞,该漏洞源于对用户提供的输入验证不足。攻击者利用该漏洞可以执行任意命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-20284 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-20284 的情报信息