Vulnerabilidad en Cisco Nexus Dashboard Insights (CVE-2024-20491)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-532
Exposición de información a través de archivos de log
Fecha de publicación:
02/10/2024
Última modificación:
08/10/2024
Descripción
Una vulnerabilidad en una función de registro de Cisco Nexus Dashboard Insights podría permitir que un atacante con acceso a un archivo de soporte técnico vea información confidencial. Esta vulnerabilidad existe porque las credenciales del controlador remoto se registran en un registro interno que se almacena en el archivo de soporte técnico. Un atacante podría aprovechar esta vulnerabilidad accediendo a un archivo de soporte técnico que se genera desde un sistema afectado. Una explotación exitosa podría permitir que el atacante vea las credenciales de administrador del controlador remoto en texto plano. Nota: La práctica recomendada es almacenar los registros de depuración y los archivos de soporte técnico de forma segura y compartirlos solo con partes de confianza porque pueden contener información confidencial.
Impacto
Puntuación base 3.x
8.60
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:cisco:nexus_dashboard_fabric_controller:*:*:*:*:*:*:*:* | 12.1.0 (incluyendo) | 12.2.2.241 (excluyendo) |
| cpe:2.3:a:cisco:nexus_dashboard_insights:*:*:*:*:*:*:*:* | 6.4.0 (excluyendo) | |
| cpe:2.3:a:cisco:nexus_dashboard_insights:*:*:*:*:*:*:*:* | 6.5.0 (incluyendo) | 6.5.1.32 (excluyendo) |
| cpe:2.3:a:cisco:nexus_dashboard_orchestrator:*:*:*:*:*:*:*:* | 4.2\(3o\) (excluyendo) | |
| cpe:2.3:a:cisco:nexus_dashboard_orchestrator:*:*:*:*:*:*:*:* | 4.4.0 (incluyendo) | 4.4.1.1012 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página