SQL Injection Sicherheitslücke in Cisco Nexus Dashboard Fabric Controller (CVE-2024-20536)
Am 6. November 2024 hat Cisco eine SQL-Injection-Sicherheitslücke (CVE-2024-20536) in der REST-API und webbasierten Managementschnittstelle des Cisco Nexus Dashboard Fabric Controllers (NDFC) gemeldet. Die Schwachstelle erlaubt es authentifizierten, remote verbundenen Angreifern mit nur Lesezugriff, beliebige SQL-Befehle auszuführen. Diese Schwachstelle wird mit einem CVSS-Score von 8,8 (hoch) bewertet und betrifft nur Cisco NDFC-Versionen 12.1.2 und 12.1.3.
Cisco hat bereits Sicherheitsupdates veröffentlicht; es sind jedoch keine Workarounds verfügbar. Betroffenen Nutzern wird dringend empfohlen, auf eine nicht anfällige Version zu aktualisieren. Weitere Details finden sich in der Cisco-Sicherheitsmeldung.