CVE-2023-20115

A vulnerability in the SFTP server implementation for Cisco Nexus 3000 Series Switches and 9000 Series Switches in standalone NX-OS mode could allow an authenticated, remote attacker to download or overwrite files from the underlying operating system of an affected device. This vulnerability is due to a logic error when verifying the user role when an SFTP connection is opened to an affected device. An attacker could exploit this vulnerability by connecting and authenticating via SFTP as a valid, non-administrator user. A successful exploit could allow the attacker to read or overwrite files from the underlying operating system with the privileges of the authenticated user. There are workarounds that address this vulnerability.

CVSS v3 5.4 MEDIUM

5.4^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 2.5

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact LOW

Integrity Impact LOW

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nxos-sftp-xVAp5Hfd	Vendor Advisory

Configurations

Configuration 1 (hide)

AND

OR	cpe:2.3:o:cisco:nx-os:9.2\(1\):::::::*
	cpe:2.3:o:cisco:nx-os:9.2\(2\):::::::*
	cpe:2.3:o:cisco:nx-os:9.2\(2t\):::::::*
	cpe:2.3:o:cisco:nx-os:9.2\(2v\):::::::*
	cpe:2.3:o:cisco:nx-os:9.2\(3\):::::::*
	cpe:2.3:o:cisco:nx-os:9.2\(4\):::::::*
	cpe:2.3:o:cisco:nx-os:9.3\(1\):::::::*
	cpe:2.3:o:cisco:nx-os:9.3\(2\):::::::*
	cpe:2.3:o:cisco:nx-os:9.3\(3\):::::::*
	cpe:2.3:o:cisco:nx-os:9.3\(4\):::::::*
	cpe:2.3:o:cisco:nx-os:9.3\(5\):::::::*
	cpe:2.3:o:cisco:nx-os:9.3\(6\):::::::*
	cpe:2.3:o:cisco:nx-os:9.3\(7\):::::::*
	cpe:2.3:o:cisco:nx-os:9.3\(7a\):::::::*
	cpe:2.3:o:cisco:nx-os:9.3\(8\):::::::*
	cpe:2.3:o:cisco:nx-os:9.3\(9\):::::::*
	cpe:2.3:o:cisco:nx-os:9.3\(10\):::::::*
	cpe:2.3:o:cisco:nx-os:9.3\(11\):::::::*
	cpe:2.3:o:cisco:nx-os:10.1\(1\):::::::*
	cpe:2.3:o:cisco:nx-os:10.1\(2\):::::::*
	cpe:2.3:o:cisco:nx-os:10.1\(2t\):::::::*
	cpe:2.3:o:cisco:nx-os:10.2\(1\):::::::*
	cpe:2.3:o:cisco:nx-os:10.2\(1q\):::::::*
	cpe:2.3:o:cisco:nx-os:10.2\(2\):::::::*
	cpe:2.3:o:cisco:nx-os:10.2\(3\):::::::*
	cpe:2.3:o:cisco:nx-os:10.2\(3t\):::::::*
	cpe:2.3:o:cisco:nx-os:10.2\(4\):::::::*
	cpe:2.3:o:cisco:nx-os:10.2\(5\):::::::*
	cpe:2.3:o:cisco:nx-os:10.3\(1\):::::::*
	cpe:2.3:o:cisco:nx-os:10.3\(2\):::::::*

OR	cpe:2.3:h:cisco:nexus_3048:-:::::::*
	cpe:2.3:h:cisco:nexus_31108pc-v:-:::::::*
	cpe:2.3:h:cisco:nexus_31108tc-v:-:::::::*
	cpe:2.3:h:cisco:nexus_31128pq:-:::::::*
	cpe:2.3:h:cisco:nexus_3132c-z:-:::::::*
	cpe:2.3:h:cisco:nexus_3132q-v:-:::::::*
	cpe:2.3:h:cisco:nexus_3132q-xl:-:::::::*
	cpe:2.3:h:cisco:nexus_3164q:-:::::::*
	cpe:2.3:h:cisco:nexus_3172pq:-:::::::*
	cpe:2.3:h:cisco:nexus_3172pq-xl:-:::::::*
	cpe:2.3:h:cisco:nexus_3172tq:-:::::::*
	cpe:2.3:h:cisco:nexus_3172tq-32t:-:::::::*
	cpe:2.3:h:cisco:nexus_3172tq-xl:-:::::::*
	cpe:2.3:h:cisco:nexus_3232c:-:::::::*
	cpe:2.3:h:cisco:nexus_3264c-e:-:::::::*
	cpe:2.3:h:cisco:nexus_3264q:-:::::::*
	cpe:2.3:h:cisco:nexus_3408-s:-:::::::*
	cpe:2.3:h:cisco:nexus_34180yc:-:::::::*
	cpe:2.3:h:cisco:nexus_34200yc-sm:-:::::::*
	cpe:2.3:h:cisco:nexus_3432d-s:-:::::::*
	cpe:2.3:h:cisco:nexus_3464c:-:::::::*
	cpe:2.3:h:cisco:nexus_3524:-:::::::*
	cpe:2.3:h:cisco:nexus_3524-x:-:::::::*
	cpe:2.3:h:cisco:nexus_3524-xl:-:::::::*
	cpe:2.3:h:cisco:nexus_3548:-:::::::*
	cpe:2.3:h:cisco:nexus_3548-x:-:::::::*
	cpe:2.3:h:cisco:nexus_3548-xl:-:::::::*
	cpe:2.3:h:cisco:nexus_36180yc-r:-:::::::*
	cpe:2.3:h:cisco:nexus_3636c-r:-:::::::*
	cpe:2.3:h:cisco:nexus_9000v:-:::::::*
	cpe:2.3:h:cisco:nexus_92160yc-x:-:::::::*
	cpe:2.3:h:cisco:nexus_92300yc:-:::::::*
	cpe:2.3:h:cisco:nexus_92304qc:-:::::::*
	cpe:2.3:h:cisco:nexus_9232e:-:::::::*
	cpe:2.3:h:cisco:nexus_92348gc-x:-:::::::*
	cpe:2.3:h:cisco:nexus_9236c:-:::::::*
	cpe:2.3:h:cisco:nexus_9272q:-:::::::*
	cpe:2.3:h:cisco:nexus_93108tc-ex:-:::::::*
	cpe:2.3:h:cisco:nexus_93108tc-ex-24:-:::::::*
	cpe:2.3:h:cisco:nexus_93108tc-fx:-:::::::*
	cpe:2.3:h:cisco:nexus_93108tc-fx-24:-:::::::*
	cpe:2.3:h:cisco:nexus_93108tc-fx3h:-:::::::*
	cpe:2.3:h:cisco:nexus_93108tc-fx3p:-:::::::*
	cpe:2.3:h:cisco:nexus_93120tx:-:::::::*
	cpe:2.3:h:cisco:nexus_93128tx:-:::::::*
	cpe:2.3:h:cisco:nexus_9316d-gx:-:::::::*
	cpe:2.3:h:cisco:nexus_93180lc-ex:-:::::::*
	cpe:2.3:h:cisco:nexus_93180yc-ex:-:::::::*
	cpe:2.3:h:cisco:nexus_93180yc-ex-24:-:::::::*
	cpe:2.3:h:cisco:nexus_93180yc-fx:-:::::::*
	cpe:2.3:h:cisco:nexus_93180yc-fx-24:-:::::::*
	cpe:2.3:h:cisco:nexus_93180yc-fx3:-:::::::*
	cpe:2.3:h:cisco:nexus_93180yc-fx3h:-:::::::*
	cpe:2.3:h:cisco:nexus_93180yc-fx3s:-:::::::*
	cpe:2.3:h:cisco:nexus_93216tc-fx2:-:::::::*
	cpe:2.3:h:cisco:nexus_93240yc-fx2:-:::::::*
	cpe:2.3:h:cisco:nexus_9332c:-:::::::*
	cpe:2.3:h:cisco:nexus_9332d-gx2b:-:::::::*
	cpe:2.3:h:cisco:nexus_9332d-h2r:-:::::::*
	cpe:2.3:h:cisco:nexus_9332pq:-:::::::*
	cpe:2.3:h:cisco:nexus_93360yc-fx2:-:::::::*
	cpe:2.3:h:cisco:nexus_9336c-fx2:-:::::::*
	cpe:2.3:h:cisco:nexus_9336c-fx2-e:-:::::::*
	cpe:2.3:h:cisco:nexus_9336pq_aci_spine:-:::::::*
cpe:2.3:h:cisco:nexus_9348d-gx2a:-:::::::*
cpe:2.3:h:cisco:nexus_9348gc-fx3:-:::::::*
cpe:2.3:h:cisco:nexus_9348gc-fxp:-:::::::*
cpe:2.3:h:cisco:nexus_93600cd-gx:-:::::::*
cpe:2.3:h:cisco:nexus_9364c:-:::::::*
cpe:2.3:h:cisco:nexus_9364c-gx:-:::::::*
cpe:2.3:h:cisco:nexus_9364d-gx2a:-:::::::*
cpe:2.3:h:cisco:nexus_9372px:-:::::::*
cpe:2.3:h:cisco:nexus_9372px-e:-:::::::*
cpe:2.3:h:cisco:nexus_9372tx:-:::::::*
cpe:2.3:h:cisco:nexus_9372tx-e:-:::::::*
cpe:2.3:h:cisco:nexus_9396px:-:::::::*
cpe:2.3:h:cisco:nexus_9396tx:-:::::::*
cpe:2.3:h:cisco:nexus_9408:-:::::::*
cpe:2.3:h:cisco:nexus_9508:-:::::::*
cpe:2.3:h:cisco:nexus_9804:-:::::::*
cpe:2.3:h:cisco:nexus_9808:-:::::::*

History

25 Jan 2024, 17:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2023-08-23 19:15

Updated : 2024-02-05 00:01

NVD link : CVE-2023-20115

Mitre link : CVE-2023-20115

CVE.ORG link : CVE-2023-20115

JSON object : View

Products Affected

cisco

nexus_9332pq
nexus_93180yc-fx3s
nexus_3408-s
nexus_93180yc-fx3h
nexus_93180lc-ex
nexus_3132q-v
nexus_93216tc-fx2
nexus_93180yc-fx-24
nexus_93360yc-fx2
nexus_9272q
nexus_31128pq
nexus_93108tc-fx3h
nexus_9236c
nexus_9408
nexus_3172tq
nexus_93600cd-gx
nexus_92160yc-x
nexus_31108tc-v
nexus_3048
nexus_9396px
nexus_3232c
nexus_34200yc-sm
nexus_9316d-gx
nexus_9348d-gx2a
nexus_3548-x
nexus_9000v
nexus_3132c-z
nexus_9232e
nexus_3636c-r
nexus_9332d-gx2b
nexus_3172tq-32t
nexus_9508
nexus_93240yc-fx2
nexus_9336c-fx2
nexus_9804
nexus_92300yc
nexus_9364c
nexus_3432d-s
nexus_93108tc-fx-24
nexus_9364d-gx2a
nexus_92304qc
nexus_93108tc-ex
nexus_92348gc-x
nexus_3264q
nexus_9348gc-fx3
nexus_9808
nexus_36180yc-r
nexus_93108tc-fx3p
nexus_93180yc-fx3
nx-os
nexus_31108pc-v
nexus_34180yc
nexus_9372px-e
nexus_93180yc-ex-24
nexus_9348gc-fxp
nexus_3172tq-xl
nexus_3164q
nexus_3264c-e
nexus_93180yc-ex
nexus_9396tx
nexus_9332d-h2r
nexus_9372tx-e
nexus_9364c-gx
nexus_3548
nexus_9336c-fx2-e
nexus_9336pq_aci_spine
nexus_3132q-xl
nexus_9372px
nexus_93108tc-fx
nexus_3524-x
nexus_3172pq-xl
nexus_3524-xl
nexus_3548-xl
nexus_3172pq
nexus_93120tx
nexus_93180yc-fx
nexus_3464c
nexus_9332c
nexus_93128tx
nexus_93108tc-ex-24
nexus_3524
nexus_9372tx

CWE

NVD-CWE-noinfo CWE-671

Lack of Administrator Control over Security

5.4 /10