首頁 > 安全研究 > 安全通報 > 安全通告

思科ESC REST API身份驗證繞過漏洞安全通告

發布時間 2019-05-09

漏洞編號和級別


CVE編號:CVE-2019-1867,危險級別:嚴重,CVSS分值:廠商自評:10.0,官方未評定


影響版本及版本


Cisco Elastic Services Controller Release 4.1、4.2、4.3、4.4,且啟用了REST API。

默認情況下REST API 是禁用的。


不受影響的版本


Cisco Elastic Services Controller Release < 4.1

Cisco Elastic Services Controller Release 4.5


漏洞概述


5月7日思科發布公告修復Elastic Services Controller(ESC)中的身份驗證繞過漏洞(CVE-2019-1867)。該漏洞可允許未經身份驗證的遠程攻擊者繞過REST API中的身份驗證。


該漏洞是由于REST API請求的不正確驗證造成的。攻擊者可通過向REST API發送惡意請求來利用此漏洞。成功利用可允許攻擊者通過REST API執行任意操作,并獲得管理權限。


由于ESC默認未啟用REST API,管理員可通過運行命令sudo netstat -tlnup | grep '8443|8080'查看當前是否啟用了REST API。以下示例為在端口8443上啟用了REST API服務的輸出結果:

 


漏洞驗證


暫無POC/EXP。


修復建議


此漏洞已在Cisco Elastic Services Controller版本4.5中修復。其它補丁可用的版本見下表:



參考鏈接


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190507-esc-authbypass




上一篇 下一篇