脆弱性已在两个版本的思科的主要网络管理软件。其中三个影响思科总理雷竞技电脑网站数据中心网络经理(DCNM)和另一个影响网络框架Cisco Prime Central托管协作解决方案(HCS)保证。
漏洞DCNM可以允许未经身份验证的远程攻击者披露文件组件,并在受影响的设备上访问文本文件。具体而言,漏洞涉及信息披露,远程命令执行和XML外部实体注入。
[[积木:Cisco用Whiptail购买其数据雷竞技电脑网站中心策略这是给予的
在信息披露漏洞中,Cisco Prime DCNM的DCNM-SAN服务器组件可以允许未经验证的,远程攻击者在受影响的系统上披露任意文件内容。远程命令执行小故障还影响DCNM-SAN服务器组件,并且可以允许未经验证的远程攻击者在托管Prime DCNM应用程序的基础操作系统上执行任意命令。
外部实体注入漏洞可以允许使用XML外部实体注入攻击具有根特权的基础操作系统上的未经验证的,远程攻击者。咨询指出,在处理传入请求时,XML外部实体参考和注入标签可能会导致信息披露。
这些漏洞会在6.2(1)之前影响所有版本的Cisco Prime DCNM。思科表示,已发布了解决这些漏洞的免费软件更新(包括在第6.2(1)中,但目前尚无可减轻它们的解决方法。思科还说,它不知道任何公开公告或恶意使用这些漏洞。
远程命令执行信息披露漏洞通过TippingPoint的零日计划报告给思科。本·威廉姆斯(Ben Williams)向思科报告了XML外部实体注射脆弱性NCC组。
威廉姆斯还在网络框架中发现了脆弱性HCS保证的Cisco Prime Central。HCS Assurance的Cisco Prime Central旨在帮助服务提供商交付统一的通讯 - 服务,并允许从TCP端口8443和9090上的外部Web客户端进行HTTPS连接。
这种漏洞是由于用户身份验证不当和会话管理不足所致,并且可以允许未经验证的远程攻击者访问系统上的敏感信息。攻击者可以通过向Web用户界面提交精心设计的HTTP请求来利用它,并揭示敏感信息,包括用户凭据。
受影响的产品包括HCS Assurance 1.0.1和1.1的Cisco Prime Central。思科表示,它发布了一个免费的软件更新,该更新解决了此漏洞,并已将其修复在HCS Assurance版本9.1.1的Cisco Prime Central中。目前没有减轻方法的解决方法。
思科说,它不知道任何公开公告或恶意使用该漏洞。
来自思科子网的更多信息:
遵守所有 Twitter上的Cisco子网博客作者 。 吉姆·达菲(Jim Duffy)在Twitter上跟随