Evasión de autenticación en Enterprise NFVIS de Cisco
Cisco Enterprise NFVIS, versión 4.5.1, cuando el método de autenticación externo TACACS está habilitado.
El investigador, Cyrille Chatras de Orange Group, ha reportado a Cisco una vulnerabilidad de severidad crítica que podría permitir a un atacante remoto realizar una escalada de privilegios.
Actualizar a la versión 4.6.1 u otra posterior.
Una vulnerabilidad de evasión de autenticación debida a una validación incorrecta de los datos proporcionados por el usuario en la función TACACS + Authentication, Authorization and Accounting (AAA), podría permitir a un atacante remoto, no autenticado, realizar una escalada de privilegios mediante la inyección de parámetros en una solicitud de autenticación. Se ha asignado el identificador CVE-2021-34746 para esta vulnerabilidad.