思科修复DCNM多个漏洞安全通告
发布时间 2019-06-28漏洞编号和级别
CVE编号:CVE-2019-1619,危险级别:严重,CVSS分值:9.8
CVE编号:CVE-2019-1621,危险级别:高危,CVSS分值:7.5
CVE编号:CVE-2019-1622,危险级别:中危,CVSS分值:5.3
影响版本
受影响的版本
Cisco Data Center Network Manager (DCNM) 11.2(1)之前版本
漏洞概述
Cisco Data Center Network Manager是美国思科(Cisco)公司的一套数据中心管理系统。该系统适用于Cisco Nexus和MDS系列交换机,提供存储可视化、配置和故障排除等功能。思科发布DCNM的安全更新,修复多个漏洞:
Cisco Data Center Network Manager (DCNM) 11.2(1)之前版本中的基于Web的管理界面存在权限许可和访问控制问题漏洞,该漏洞源于不正确的权限设置。攻击者可通过上传特制的数据利用该漏洞写入任意文件并root权限执行代码。
Cisco Data Center Network Manager (DCNM)11.1(1)之前版本中基于Web的管理界面存在访问控制错误漏洞,该漏洞源于程序没有正确管理会话。远程攻击者可通过发送特制的HTTP请求利用该漏洞绕过身份验证并以管理权限执行任意操作。
Cisco Data Center Network Manager (DCNM) 11.2(1)之前版本中基于Web的管理界面存在权限许可和访问控制问题漏洞,该漏洞源于不正确的权限设置。远程攻击者可通过将该界面连接到受影响设备并请求URLs利用该漏洞获取敏感信息的访问权限。
Cisco Data Center Network Manager (DCNM)中基于Web的管理界面存在访问控制错误漏洞。远程攻击者可通过连接到基于Web的管理界面并请求URLs利用该漏洞检索敏感信息。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接见参考链接。
参考链接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-bypass
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-file-dwnld
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-infodiscl
京公网安备11010802024551号