Cisco XE: CVE-2024-20316: Cisco IOS XE Software NETCONF/RESTCONF IPv4访问控制列表绕过漏洞

Cisco XE: CVE-2024-20316: Cisco IOS XE Software NETCONF/RESTCONF IPv4访问控制列表绕过漏洞

Severity

4

CVSS

(AV: L /交流:米/非盟:N / C: P / I: P / A: P)

Published

03/28/2024

Created

03/29/2024

Added

03/28/2024

Modified

04/01/2024

Description

思科IOS XE软件的数据模型接口(DMI)服务中的漏洞可能允许未经身份验证的, 远程攻击者访问本应由配置的IPv4访问控制列表(ACL)保护的资源。. 此漏洞是由于成功授权的设备管理员使用NETCONF或RESTCONF协议更新IPv4 ACL时对错误条件处理不当造成的, 更新将在更新的ACL中重新排序访问控制项(ace). 攻击者可以通过访问受影响设备上本应受到保护的资源来利用此漏洞.

Solution(s)

• cisco-xe-upgrade-latest

References

• http://attackerkb.com/topics/cve-2024-20316
• Cve - 2024-20316
• http://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dmi-acl-bypass-Xv8FO8Vz