首页 > 安全研究 > 安全通报 > 安全通告

Cisco PI and EPN Manager远程代码执行漏洞安全通告

发布时间 2019-05-17

漏洞编号和级别


CVE编号:CVE-2019-1821,危险级别:严重,CVSS分值:厂商自评:9.8,官方未评定
CVE编号:CVE-2019-1822,危险级别:严重,CVSS分值:厂商自评:9.8,官方未评定

CVE编号:CVE-2019-1823,危险级别:严重,CVSS分值:厂商自评:9.8,官方未评定


影响版本


受影响的版本


Cisco PI Software Releases < 3.4.1
Cisco PI Software Releases < 3.5
Cisco PI Software Releases < 3.6

EPN Manager Releases < 3.0.1


不受影响的版本


Cisco PI Software Releases == 3.4.1
Cisco PI Software Releases == 3.5
Cisco PI Software Releases == 3.6

EPN Manager Releases 3.0.1


漏洞概述


CiscoPrimeInfrastructure(PI)和CiscoEvolvedProgrammableNetworkManager(EPNM)都是美国思科(Cisco)公司的产品。PI是一套通过CiscoPrimeLANManagementSolution(LMS)和CiscoPrimeNetworkControlSystem(NCS)技术进行无线管理的解决方案;EPNM是一套网络管理解决方案。


5月15日,Cisco官方发布一则安全通告,称修复了Cisco Prime Infrastructure and Evolved Programmable Network Manager中存在的3个高危漏洞(CVE-2019-1821、CVE-2019-1822、CVE-2019-1823)。


这些漏洞源于软件没有合理地对用户输入进行校验和过滤,攻击者可以通过向管理员界面上传恶意的文件来触发,利用成功会使得攻击者在被攻击系统中以root权限执行代码。


漏洞验证


暂无POC/EXP。


修复建议


目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-pi-rce。

参考链接


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-pi-rce


上一篇 下一篇