Cisco Data Center Network Manager操作系统命令注入漏洞风险通告
发布时间 2020-01-06漏洞编号和级别
CVE编号:CVE-2019-15978,危险级别:高危,CVSS分值:厂商自评:7.2,官方未评定
CVE编号:CVE-2019-15979,危险级别:高危,CVSS分值:厂商自评:7.2,官方未评定
影响版本
Cisco Data Center Network Manager 11.3(1)之前版本
漏洞概述
Cisco Data Center Network Manager是美国思科(Cisco)公司的一套数据中心管理系统。该系统适用于Cisco Nexus和MDS系列交换机,提供存储可视化、配置和故障排除等功能。
CVE-2019-15978
Cisco Data Center Network Manager 11.3(1)之前版本中的REST API存在操作系统命令注入漏洞,该漏洞源于程序没有充分验证提交到该API的用户输入。远程攻击者可通过发送特制的请求利用该漏洞以管理权限执行任意命令。
CVE-2019-15979
Cisco Data Center Network Manager 11.3(1)之前版本中的SOAP API存在操作系统命令注入漏洞,该漏洞源于程序没有充分验证提交到该API的用户输入。远程攻击者可通过发送特制的请求利用该漏洞以管理权限执行任意命令。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-comm-inject。
参考链接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-comm-inject
京公网安备11010802024551号