首頁 > 安全研究 > 安全通報 > 安全通告

Cisco Data Center Network Manager操作系統命令注入漏洞風險通告

發布時間 2020-01-06

漏洞編號和級別


CVE編號:CVE-2019-15978,危險級別:高危,CVSS分值:廠商自評:7.2,官方未評定

CVE編號:CVE-2019-15979,危險級別:高危,CVSS分值:廠商自評:7.2,官方未評定


影響版本


Cisco Data Center Network Manager 11.3(1)之前版本


漏洞概述


Cisco Data Center Network Manager是美國思科(Cisco)公司的一套數據中心管理系統。該系統適用于Cisco Nexus和MDS系列交換機,提供存儲可視化、配置和故障排除等功能。


CVE-2019-15978

Cisco Data Center Network Manager 11.3(1)之前版本中的REST API存在操作系統命令注入漏洞,該漏洞源于程序沒有充分驗證提交到該API的用戶輸入。遠程攻擊者可通過發送特制的請求利用該漏洞以管理權限執行任意命令。


CVE-2019-15979

Cisco Data Center Network Manager 11.3(1)之前版本中的SOAP API存在操作系統命令注入漏洞,該漏洞源于程序沒有充分驗證提交到該API的用戶輸入。遠程攻擊者可通過發送特制的請求利用該漏洞以管理權限執行任意命令。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-comm-inject。


參考鏈接


https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20200102-dcnm-comm-inject



上一篇 下一篇