云安全日报220721:思科混合云运维管理解决方案发现执行任意命令漏洞,需要尽快升级
CiscoNexusDashboard是思科公司一个简化的集中式数据中心管理解决方案,可以轻松地管理混合云网络运维。
7月20日,思科公司发布了安全更新,修复了思科混合云网络运维管理解决方案中发现执行任意命令漏洞。以下是漏洞详情:
漏洞详情
来源:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-mhcvuln-vpsBPJ9y
1.CVE-2022-20857CVSS评分:9.8严重程度:严重
CiscoNexusDashboard中的漏洞可能允许未经身份验证的远程攻击者访问在数据网络中运行的特定API并在受影响的设备上执行任意命令。
该漏洞是由于对特定API的访问控制不足。攻击者可以通过向受影响的API发送精心设计的HTTP请求来利用此漏洞。成功的利用可能允许攻击者以root用户身份在节点上的任何pod中执行任意命令。
2.CVE-2022-20861CVSS评分:8.8严重程度:高
CiscoNexusDashboard的管理网络中运行的WebUI中的漏洞可能允许未经身份验证的远程攻击者对受影响的设备进行跨站点请求伪造(CSRF)攻击。
此漏洞是由于受影响设备上的WebUI的CSRF保护不足。攻击者可以通过说服基于Web的管理界面的经过身份验证的管理员单击恶意链接来利用此漏洞。成功的利用可能允许攻击者在受影响的设备上执行具有管理员权限的操作。
3.CVE-2022-20858CVSS评分:8.2严重程度:高
CiscoNexusDashboard中的漏洞可能允许未经身份验证的远程攻击者访问在受影响设备的数据和管理网络中运行的服务。
该漏洞是由于管理容器映像的服务的访问控制不足。攻击者可以通过打开与受影响服务的TCP连接来利用此漏洞。成功的利用可能允许攻击者下载容器图像或将恶意容器图像上传到受影响的设备。恶意图像将在设备重新启动或Pod重新启动后运行。
受影响产品
CiscoNexusDashboard2.2及先前版本
解决方案
CiscoNexusDashboard升级至2.2(1e)可修复
查看更多漏洞信息以及升级请访问官网:
https://tools.cisco.com/security/center/publicationListing.x