Cisco NX-OS 软件 Python Sbox 转义多个漏洞 (cisco-sa-nxos-psbe-ce-YvbTn5du)
high Nessus 插件 ID 206717
语言:
简介
远程设备缺少供应商提供的安全补丁描述
根据其自我报告的版本,Cisco NX-OS Software 受到多个漏洞影响。- Cisco NX-OS 软件的 Python 解释器中有一个漏洞,可允许经身份验证的低权限本地攻击者逃离 Python 沙盒,并取得对设备底层操作系统的未经授权的访问权限。造成此漏洞的原因是对用户提供的输入验证不足。攻击者可通过操控 Python 解释器中的特定函数来利用此漏洞。成功利用可能允许攻击者实现 Python 沙盒逃逸并使用经身份验证的权限在底层操作系统上执行任意命令。
注意:攻击者必须通过 Python 执行权限的认证,才能利用这些漏洞。
有关 Python 执行权限的更多信息,请参阅产品特定的文档,例如 Cisco Nexus 9000 系列 NX-OS 可编程性指南的部分。(CVE-2024-20284、 CVE-2024-20285、 CVE-2024-20286)
请参阅随附的 Cisco BID 和 Cisco 安全公告,了解更多信息。
解决方案
升级到 Cisco 缺陷 ID CSCwh77779、CSCwh77780、CSCwh77781、CSCwi52362、CSCwi52363、CSCwi52365、CSCwi52380、CSCwi52383、CSCwi52460、CSCwi52461 中提及的相关修复版本另见
http://www.nessus.org/u?ac7296b4
http://www.nessus.org/u?0fd3f483
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwh77779
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwh77780
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwh77781
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwi52362
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwi52363
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwi52365
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwi52380
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwi52383
插件详情
严重性: High
ID: 206717
文件名: cisco-sa-nxos-psbe-ce-YvbTn5du.nasl
版本: 1.5
类型: combined
系列: CISCO
发布时间: 2024/9/6
最近更新时间: 2024/10/23
配置: 启用偏执模式
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.5
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:L/AC:L/Au:S/C:C/I:C/A:C
CVSS 分数来源: CVE-2024-20286
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.7
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:cisco:nx-os
必需的 KB 项: Settings/ParanoidReport, Host/Cisco/NX-OS/Version, Host/Cisco/NX-OS/Model, Host/Cisco/NX-OS/Device
易利用性: No known exploits are available
补丁发布日期: 2024/8/28
漏洞发布日期: 2024/8/28
参考资料信息
CVE: CVE-2024-20284, CVE-2024-20285, CVE-2024-20286
CISCO-SA: cisco-sa-nxos-psbe-ce-YvbTn5du
CISCO-BUG-ID: CSCwh77779, CSCwh77780, CSCwh77781, CSCwi52362, CSCwi52363, CSCwi52365, CSCwi52380, CSCwi52383, CSCwi52460, CSCwi52461