| 風險等級: | 高度威脅 |
| 摘 要: | 弱點通告:Cisco 近日發布更新以解決多個產品的安全性弱點,建議請管理者儘速評估更新! |
| 影響系統: |
|
| 解決辦法: | 請參考 Cisco 官網說明並更新至建議版本, https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir#~Vulnerabilities (1) Cisco SD-WAN (20.3.2 (含)之後版本、20.4.1 (含)之後版本)。 (2) Cisco IOS XE SD-WAN 16.12.4 (含)之後版本。 (3) Cisco IOS XE (17.2.2 (含)之後版本、17.3.1 (含)之後版本、17.4.1 (含)之後版本)。 (4) Cisco DNA Center 1.3.1.0 (含)之後版本。 (5) Cisco Smart Software Manager (On-Prem) 6.3.0 (含)之後版本。 |
| 細節描述: | Cisco近日發布更新,以解決多個產品的安全性弱點。(1)Cisco SD-WAN vManage軟體基於Web的管理界面中的弱點,可能允許經過身份驗證的遠端攻擊者以root用戶的身份在受影響的系統上執行任意指令。 此弱點是由於用戶對設備模板配置提供的輸入驗證不正確引起的。攻擊者可以通過向設備模板配置提交特製的輸入來利用此弱點。成功的利用可能使攻擊者獲得對受影響系統的root級別的訪問。 (2)Cisco SD-WAN軟體中的弱點可能允許未經身份驗證的遠端攻擊者導致緩衝區溢位的情況。 (3)Cisco DNA Center的Command Runner工具中的弱點可能允許經過身份驗證的遠端攻擊者執行命令注入攻擊。 (4)Cisco Smart Software Manager Satellite的Web UI中的弱點可能允許未經身份驗證的遠端攻擊者以高特權用戶的身份在受影響的設備上執行任意指令。 |
| 參考資訊: | us-cert CVE-2021-1260 CVE-2021-1300 CVE-2021-1264 CVE-2021-1138 |