Уязвимость в функции резервного копирования конфигурации Cisco Nexus Dashboard может позволить злоумышленнику, имеющему пароль шифрования и доступ к файлам полной резервной копии или файлам только конфигурации, получить доступ к конфиденциальной информации. Эта уязвимость существует, поскольку данные аутентификации включены в зашифрованные файлы резервных копий. Злоумышленник, обладающий действительным файлом резервной копии и паролем шифрования с пораженного устройства, может расшифровать файл резервной копии.
Затем злоумышленник может использовать данные аутентификации в файле резервной копии для доступа к внутренним API на затронутом устройстве. Успешный эксплойт может позволить злоумышленнику выполнять произвольные команды в базовой операционной системе от имени пользователя root.
Показать оригинальное описание (EN)
A vulnerability in the configuration backup feature of Cisco Nexus Dashboard could allow an attacker who has the encryption password and access to Full or Config-only backup files to access sensitive information. This vulnerability exists because authentication details are included in the encrypted backup files. An attacker with a valid backup file and encryption password from an affected device could decrypt the backup file. The attacker could then use the authentication details in the backup file to access internal-only APIs on the affected device. A successful exploit could allow the attacker to execute arbitrary commands on the underlying operating system as the root user.
Характеристики атаки
Последствия
Строка CVSS v3.1