Cisco Prime Infrastructure Software是思科(Cisco)公司的一套基础网络生命周期管理解决方案。Cisco Evolved Programmable Network Manager是一套网络管理解决方案。
5月19日,思科公司发布了安全更新,修复了思科网络生命周期管理解决方案发现执行任意命令漏洞.以下是漏洞详情:
漏洞详情
来源:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-pi-epnm-cmd-inj-YU5e6tB3
CVE-2021-1487 CVSS评分:8.8 严重程度: 高
Cisco Prime基础设施和演进式可编程网络(EPN)管理器的基于Web的管理界面中的漏洞可能允许经过身份验证的远程攻击者在受影响的系统上执行任意命令。
该漏洞是由于用户对基于Web的管理界面提供的输入的验证不足而引起的。攻击者可以通过向接口发送特制的HTTP请求来利用此漏洞。成功利用此漏洞可能允许攻击者在特殊的非root用户权限下,在基础操作系统(OS)上执行任意命令。这样,攻击者可以控制受影响的系统,这将使他们能够获取和更改敏感数据。攻击者还可能通过推送任意配置文件,检索设备凭证和机密信息,并最终破坏设备的稳定性,从而导致拒绝服务(DoS)条件,来影响受受影响系统管理的设备。
受影响产品
此漏洞影响了 Cisco Prime Infrastructure 3.9之前版本和 Cisco EPN Manager 5.1之前版本
。
思科在以下版本中修复了此漏洞:
Cisco Prime Infrastructure 3.9及更高版本
Cisco EPN Manager 5.1及更高版本
查看更多漏洞信息 以及升级修复请访问官网:
https://tools.cisco.com/security/center/publicationListing.x
