Cisco Nexus Dashboard Fapic Controller漏洞CVE-2024-20536

Cisco Nexus Dashboard 是思科一款集中式资料中心仪表板，轻松管理构筑混合云网络运维，跨数据中心和云实现集中配置、运行和分析。

一、基本情况

Cisco Nexus Dashboard Fapic Controller 是美国思科（Cisco）公司推出的一款应用于管理 Cisco NX-OS 部署的综合网络管理平台软件。

软件适用于数据中心LAN、SAN和IP Fapic for Media（IPFM）网络，提供多站点网络协调和策略管理、灾难恢复、调配及高可用性功能。

栋科技漏洞库关注到 Cisco 近期披露Nexus Dashboard Fapic Controller（NDFC）中一个高危SQL注入漏洞，追踪为CVE-2024-20536。

二、漏洞分析

CVE-2024-20536是Cisco Nexus Dashboard Fapic Controller（NDFC）的 REST API 端点和基于 Web 的管理接口中存在一个高危漏洞。

该漏洞的CVSS3.1评分为8.8分，源于对用户提供的输入验证不足导致，可能允许具有只读权限远程攻击者执行受影响设备任意SQL命令。

攻击者只需要具备只读访问权限，就可以通过向特定的 REST API 端点或基于 Web 的管理接口发送精心制作的请求，就可以利用该漏洞。

攻击者可利用此漏洞操控SQL命令实现在内部数据库中读取、修改或删除任意数据，不仅影响设备可用性，更可能引发更广泛安全隐患。

思科对发现并负责任地披露这一漏洞的 REQON BV 团队的安全研究人员Harm Blankers、Jasper Westerman和Yanick de Pater表示感谢。

该漏洞仅影响NDFC版本12.1.2和12.1.3，且目前没有可用的临时解决方案，受影响组织必须依赖Cisco的最新软件更新来保护相关设备。

三、影响范围

Cisco Nexus Dashboard Fapic Controller（NDFC）版本 = 12.1.2 和12.1.3

当 Cisco NDFC 配置为存储区域网络 storage area network (SAN) 控制器部署时，此漏洞不会影响 Cisco NDFC。

四、修复建议

从 Cisco Nexus Dashboard 版本 3.1(1k) 开始，Cisco NDFC 分布在 Cisco Nexus Dashboard 统一版本中。 

Cisco Nexus Dashboard 版本 3.1(1k) 包括 Cisco NDFC 版本 12.2.1，其中包含针对此漏洞的修复。

五、参考链接

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndfc-sqli-CyPPAxrL