• 漏洞编号和级别

CVE编号：CVE-2019-12643，危险级别：严重，CVSS分值：厂商自评：10，官方未评定

CVE编号：CVE-2019-1962，危险级别：高危，CVSS分值：厂商自评：8.6，官方未评定

CVE编号：CVE-2019-1964，危险级别：高危，CVSS分值：厂商自评：8.6，官方未评定

CVE编号：CVE-2019-1963，危险级别：高危，CVSS分值：厂商自评：7.7，官方未评定

CVE编号：CVE-2019-1965，危险级别：高危，CVSS分值：厂商自评：7.7，官方未评定

CVE编号：CVE-2019-1966，危险级别：高危，CVSS分值：厂商自评：7.8，官方未评定

• 影响版本

受影响的版本

CVE-2019-12643

Cisco 4000 Series Integrated Services Routers

Cisco ASR 1000 Series Aggregation Services Routers

Cisco Cloud Services Router 1000V Series

Cisco Integrated Services Virtual Router

• 漏洞概述

思科发布了其IOS XE操作系统的更新，以修补一个关键漏洞，该漏洞可能允许远程攻击者绕过运行过时版虚拟服务容器的设备上的身份验证。虚拟服务容器用于在隔离环境中运行进程。它们作为开放虚拟应用程序（OVA）包提供，可以运行用于各种目的的应用程序。管理员可以为机器配备故障排除工具，实现常见网络功能或分析和监控的工具。常见的用途是扩展主机网络的功能。

如果通过简单地向目标设备发送恶意HTTP请求来满足特定条件，则可以进行利用。如果管理员进入REST API接口，则攻击者可以获得其“令牌ID”并使用提升的权限运行命令。

除此通报外，该公司还针对影响统一计算系统（UCS）结构互连，FXOS，NX-OS和Nexus 9000系列光纤交换机的其他九个中高级别问题发布了安全公告。

在NX-OS软件中发现了四个高严重性问题。两个允许未经身份验证的远程攻击者使设备崩溃（CVE-2019-1962）或导致意外重启netstack进程（CVE-2019-19624）。另外两个允许经过身份验证的攻击者重新启动SNMP应用程序（CVE-2019-1963）或通过阻止在终止远程连接时删除虚拟shell（VSH）进程来耗尽系统内存（CVE-2019-1965）。