思科发布有关安全漏洞五个警告其SD-WAN产品,在漏洞规模的高端他们三个。
最坏的问题是与的命令行界面(CLI)其SD-WAN解决方案软件,其中一个弱点可以让本地攻击者注入了与root权限,思科执行任意命令中写道。
攻击者可能利用此漏洞 - 这对通用安全漏洞评分系统7.8,如果10 - 通过认证的设备并提交制作的输入CLI工具。攻击者必须经过身份验证才能访问CLI工具。该漏洞是由于输入验证不足,思科写道。
另一个高警告问题,您的身份验证,本地攻击者提升权限到根目录下的底层操作系统。攻击者可以通过发送特制请求受影响的系统来利用此漏洞。一个成功的攻击可能允许攻击者获得root级别的权限,思科写。该漏洞是由于输入验证不足。
在SD-WAN解决方案软件的第三次高级别漏洞可以让攻击者导致受影响的设备上的缓冲区溢出。攻击者可能通过发送特制的流量到受影响的设备此漏洞。一个成功的攻击可能允许攻击者对信息增益的访问,他们没有被授权访问和更改系统,他们没有被授权作出,思科写。
该漏洞影响了一些思科的产品,如果他们正在运行一个思科SD-WAN解决方案的软件版本比19.2.2版更早:vBond Orchestrator软件,vEdge 100-5000系列路由器,vManage网络管理系统和vSmart控制器软件。
思科表示,有任何的漏洞没有解决方法和它建议用户接受自动软件升级,以消除入侵的风险。有软件修复的问题为好。
所有这三个高层次的警告是由橙组报道思科,思科表示。
另外两个SD-WAN解决方案软件警告 - 中等威胁级别 - 包括一个允许对vManage软件和SQL注入威胁的基于Web的管理界面,跨站点脚本(XSS)攻击。
该XXS漏洞是由于基于Web的管理接口验证用户提供的输入的不足。攻击者可以通过说服界面的用户点击一个链接精雕细琢利用此漏洞。一个成功的攻击可能允许攻击者在界面的上下文或访问敏感的,基于浏览器的信息,执行任意脚本代码。
在SQL漏洞的存在是因为Web UI未正确验证SQL值。攻击者可以通过验证的应用程序和发送恶意SQL查询受影响的系统来利用此漏洞。一个成功的攻击可以让攻击者修改的值,或以及操作系统,思科返回值,基础数据库写。
思科承认Synacktiv朱利安LEGRAS和托马斯Etrillard报告的问题。
该公司表示,发布的19.2.2思科SD-WAN解决方案包含所有五个漏洞的修复程序。