首頁 > 安全研究 > 安全通報 > 安全通告

思科修復DCNM多個漏洞安全通告

發布時間 2019-06-28

漏洞編號和級別



CVE編號:CVE-2019-1620,危險級別:嚴重,CVSS分值:9.8
CVE編號:CVE-2019-1619,危險級別:嚴重,CVSS分值:9.8
CVE編號:CVE-2019-1621,危險級別:高危,CVSS分值:7.5

CVE編號:CVE-2019-1622,危險級別:中危,CVSS分值:5.3 



影響版本



受影響的版本


Cisco Data Center Network Manager (DCNM) 11.2(1)之前版本



漏洞概述



Cisco Data Center Network Manager是美國思科(Cisco)公司的一套數據中心管理系統。該系統適用于Cisco Nexus和MDS系列交換機,提供存儲可視化、配置和故障排除等功能。思科發布DCNM的安全更新,修復多個漏洞:


CVE-2019-1620

Cisco Data Center Network Manager (DCNM) 11.2(1)之前版本中的基于Web的管理界面存在權限許可和訪問控制問題漏洞,該漏洞源于不正確的權限設置。攻擊者可通過上傳特制的數據利用該漏洞寫入任意文件并root權限執行代碼。


CVE-2019-1619

Cisco Data Center Network Manager (DCNM)11.1(1)之前版本中基于Web的管理界面存在訪問控制錯誤漏洞,該漏洞源于程序沒有正確管理會話。遠程攻擊者可通過發送特制的HTTP請求利用該漏洞繞過身份驗證并以管理權限執行任意操作。


CVE-2019-1621

Cisco Data Center Network Manager (DCNM) 11.2(1)之前版本中基于Web的管理界面存在權限許可和訪問控制問題漏洞,該漏洞源于不正確的權限設置。遠程攻擊者可通過將該界面連接到受影響設備并請求URLs利用該漏洞獲取敏感信息的訪問權限。


CVE-2019-1622

Cisco Data Center Network Manager (DCNM)中基于Web的管理界面存在訪問控制錯誤漏洞。遠程攻擊者可通過連接到基于Web的管理界面并請求URLs利用該漏洞檢索敏感信息。



漏洞驗證



暫無POC/EXP。



修復建議



目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接見參考鏈接。



參考鏈接



https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-codex
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-bypass
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-file-dwnld
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190626-dcnm-infodiscl

上一篇 下一篇