بررسی آسیب پذیری CVE-2020-3586
یک آسیب پذیری در سطح اینترفیس مدیریتی مبتنی بر وب در Cisco DNA Spaces Connector وجود دارد که به یک مهاجم احراز هویت نشده راه دور اجازه می دهد تا دستورات دلخواه خود را بر روی دستگاه آسیب پذیر اجرا کند. این آسیب پذیری به دلیل عدم اعتبارسنجی کافی ورودی ارائه شده توسط کاربر، در اینترفیس مدیریتی مبتنی بر وب رخ می دهد. مهاجم می تواند با ارسال درخواست های HTTP مخرب و دستکاری شده به اینترفیس مدیریتی مبتنی بر وب، ازاین آسیب پذیری بهره برداری کند. یک بهره برداری موفق می تواند به مهاجم اجازه دهد که دستورات دلخواه خود را با سطح دسترسی اینترفیس مدیریتی مبتنی بر وب، که با دسترسی یک کاربر محدود اجرا می شود، بر روی پوسته اصلی سیستم عامل اجرا کند که نهایتاً می تواند منجر به تغییراتی در صفحات ارائه شده توسط برنامه مدیریتی تحت وب شود که بر یکپارچگی و یا دسترس پذیری برنامه مدیریت مبتنی بر وب تأثیر می گذارد.
راه حل:
هیچ راهکاری برای رفع این آسیب پذیری وجود ندارد.
محصولات تحت تاثیر:
این آسیب پذیری بر روی نرم افزار Cisco DNA Spaces Connector 2.2 و نسخه های قبلی تأثیر می گذارد.