? 漏洞編號和級別

CVE編號：CVE-2019-12643，危險級別：嚴重，CVSS分值：廠商自評：10，官方未評定

CVE編號：CVE-2019-1962，危險級別：高危，CVSS分值：廠商自評：8.6，官方未評定

CVE編號：CVE-2019-1964，危險級別：高危，CVSS分值：廠商自評：8.6，官方未評定

CVE編號：CVE-2019-1963，危險級別：高危，CVSS分值：廠商自評：7.7，官方未評定

CVE編號：CVE-2019-1965，危險級別：高危，CVSS分值：廠商自評：7.7，官方未評定

CVE編號：CVE-2019-1966，危險級別：高危，CVSS分值：廠商自評：7.8，官方未評定

? 影響版本

受影響的版本

CVE-2019-12643

Cisco 4000 Series Integrated Services Routers

Cisco ASR 1000 Series Aggregation Services Routers

Cisco Cloud Services Router 1000V Series

Cisco Integrated Services Virtual Router

? 漏洞概述

思科發布了其IOS XE操作系統的更新，以修補一個關鍵漏洞，該漏洞可能允許遠程攻擊者繞過運行過時版虛擬服務容器的設備上的身份驗證。虛擬服務容器用于在隔離環境中運行進程。它們作為開放虛擬應用程序（OVA）包提供，可以運行用于各種目的的應用程序。管理員可以為機器配備故障排除工具，實現常見網絡功能或分析和監控的工具。常見的用途是擴展主機網絡的功能。

如果通過簡單地向目標設備發送惡意HTTP請求來滿足特定條件，則可以進行利用。如果管理員進入REST API接口，則攻擊者可以獲得其“令牌ID”并使用提升的權限運行命令。

除此通報外，該公司還針對影響統一計算系統（UCS）結構互連，FXOS，NX-OS和Nexus 9000系列光纖交換機的其他九個中高級別問題發布了安全公告。

在NX-OS軟件中發現了四個高嚴重性問題。兩個允許未經身份驗證的遠程攻擊者使設備崩潰（CVE-2019-1962）或導致意外重啟netstack進程（CVE-2019-19624）。另外兩個允許經過身份驗證的攻擊者重新啟動SNMP應用程序（CVE-2019-1963）或通過阻止在終止遠程連接時刪除虛擬shell（VSH）進程來耗盡系統內存（CVE-2019-1965）。