Cisco - CVE-2026-20191
Date de publication :
Il s'agit d'une vulnérabilité dans la validation des entrées utilisateur de Cisco Catalyst Center.
Cisco Catalyst Center est une plateforme de gestion centralisée des réseaux Cisco.
Un attaquant distant non authentifié peut envoyer une requête HTTP spécialement conçue vers un équipement affecté. Cette requête cible un conteneur restreint et contourne les contrôles de chemin attendus.
Elle permet une lecture arbitraire de fichiers depuis ce conteneur.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Exécution de code arbitraire (à distance)
• Atteinte à la confidentialité des données
Exploitation
CWE-22 : Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• Cisco Catalyst Center versions 3.1 antérieures à 3.1.6 GSMU200
• Cisco Catalyst Center Virtual Appliances on VMware ESXi versions 2.3.7 antérieures à 2.3.7.11-VA GSMU100
• Cisco Catalyst Center Virtual Appliances on VMware ESXi versions 3.1 antérieures à 3.1.6 GSMU200
Solutions ou recommandations
• Cisco Catalyst Center Virtual Appliances on VMware ESXi versions 2.3.7.11-VA GSMU100 et supérieures.
• Cisco Catalyst Center Virtual Appliances on VMware ESXi versions 3.1.6 GSMU200 et supérieures.