Prime Data Center Network Manager (DCNM)

Die Schwachstelle betrifft Cisco Prime Data Center Network Manager (DCNM), eine Verwaltungssoftware für Rechenzentrumsnetze. Sie sitzt im sogenannten fmserver-Servlet, einer serverseitigen Komponente der Anwendung. Es handelt sich um einen Verzeichnisdurchquerungs-Fehler (Directory Traversal): Das Servlet prüft die Pfadangaben für angeforderte Dateien nicht ausreichend. Ein Angreifer kann dadurch einen manipulierten Pfadnamen übermitteln, der mit speziellen Zeichenfolgen aus dem vorgesehenen Verzeichnis ausbricht und auf übergeordnete Ordner verweist. Auf diese Weise lässt sich der Defekt aus der Ferne ausnutzen, um beliebige Dateien auf dem Server auszulesen – auch solche, die eigentlich nicht über die Anwendung zugänglich sein sollten. Dadurch können vertrauliche Inhalte wie Konfigurations- oder Systemdateien offengelegt werden. Betroffen sind Organisationen, die DCNM zur Steuerung und Überwachung ihrer Rechenzentrumsnetze einsetzen.