Уязвимость в REST API Cisco Catalyst Center может позволить удаленному злоумышленнику, прошедшему проверку подлинности, выполнить произвольные команды в ограниченном контейнере от имени пользователя root. Эта уязвимость связана с недостаточной проверкой вводимых пользователем данных в параметрах запроса REST API. Злоумышленник может воспользоваться этой уязвимостью, отправив на уязвимое устройство созданный запрос API.
Успешный эксплойт может позволить злоумышленнику внедрить произвольные команды, которые затем будут выполняться в ограниченном контейнере с правами root. Чтобы воспользоваться этой уязвимостью, злоумышленник должен иметь действительные учетные данные для учетной записи пользователя как минимум с ролью наблюдателя.
Показать оригинальное описание (EN)
A vulnerability in the REST API of Cisco Catalyst Center could allow an authenticated, remote attacker to execute arbitrary commands in a restricted container as the root user. This vulnerability is due to insufficient validation of user-supplied input in REST API request parameters. An attacker could exploit this vulnerability by sending a crafted API request to an affected device. A successful exploit could allow the attacker to inject arbitrary commands that would then be executed in a restricted container with root privileges. To exploit this vulnerability, the attacker must have valid credentials for a user account with at least the role of Observer.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Cisco Catalyst_Center
cpe:2.3:a:cisco:catalyst_center:*:*:*:*:*:*:*:*
|
— |
2.3.7.10
|