Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-04138

Опубликовано: 26 авг. 2020
Источник: fstec
CVSS3: 7.8
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость функции Enable Secret сетевой операционной системы Cisco NX-OS маршрутизаторов Cisco Nexus серии 9000 существует из-за логической ошибки в реализации команды enable. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Вендор

Cisco Systems Inc.

Наименование ПО

NX-OS

Версия ПО

9.3 (NX-OS)
9.3 (NX-OS)
9.2 (NX-OS)
9.2 (NX-OS)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Cisco Systems Inc. NX-OS 9.3
Cisco Systems Inc. NX-OS 9.3
Cisco Systems Inc. NX-OS 9.2
Cisco Systems Inc. NX-OS 9.2

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-n3n9k-priv-escal-3QhXJBC

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 29%
0.00108
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-3394

CVSS3: 7.8
nvd
больше 5 лет назад

A vulnerability in the Enable Secret feature of Cisco Nexus 3000 Series Switches and Cisco Nexus 9000 Series Switches in standalone NX-OS mode could allow an authenticated, local attacker to issue the enable command and get full administrative privileges. To exploit this vulnerability, the attacker would need to have valid credentials for the affected device. The vulnerability is due to a logic error in the implementation of the enable command. An attacker could exploit this vulnerability by logging in to the device and issuing the enable command. A successful exploit could allow the attacker to gain full administrative privileges without using the enable password. Note: The Enable Secret feature is disabled by default.

github логотип

GHSA-fphj-3g9v-9h48

github
больше 3 лет назад

A vulnerability in the Enable Secret feature of Cisco Nexus 3000 Series Switches and Cisco Nexus 9000 Series Switches in standalone NX-OS mode could allow an authenticated, local attacker to issue the enable command and get full administrative privileges. To exploit this vulnerability, the attacker would need to have valid credentials for the affected device. The vulnerability is due to a logic error in the implementation of the enable command. An attacker could exploit this vulnerability by logging in to the device and issuing the enable command. A successful exploit could allow the attacker to gain full administrative privileges without using the enable password. Note: The Enable Secret feature is disabled by default.

EPSS

Процентиль: 29%
0.00108
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2