自己報告されたバージョンによると、Cisco NX-OSソフトウェアは次の脆弱性の影響を受けます。

  - Cisco NX-OSソフトウェアのリモートパッケージマネージャー（RPM）サブシステムの脆弱性により、管理者認証情報を持つ認証されたローカルの攻撃者が、time-of-check time-of-use（TOCTOU）競合状態を利用して局所変数を破損させ、任意のコマンドインジェクションを引き起こす可能性があります。この脆弱性は、使用されるまで静的である必要がある重要度緊急な変数に適切なロックメカニズムがないことが原因です。攻撃者がこの脆弱性を悪用し、影響を受けるデバイスを認証して、RPM関連のCLIコマンドセットを発行する可能性があります。エクスプロイトに成功すると、攻撃者が任意のコマンドインジェクションを実行する可能性があります。攻撃者には、標的のデバイスの管理者認証情報が必要です。 （CVE-2019-1732）

詳細については、付属のCisco BIDおよびCisco Security Advisoryを参照してください

検出

Cisco NX-OSソフトウェアのリモートパッケージマネージャーコマンドインジェクションの脆弱性（cisco-sa-20190515-nxos-rpm-injec）

medium Nessus プラグイン ID 136483