首页 云计算

云安全日报220609:思科云应用策略基础设施控制器发现特权升级漏洞,需要尽快升级

6月7日,思科公司发布了安全更新,修复了思科应用策略基础设施控制器 (APIC) 和思科云应用策略基础设施控制器 (Cloud APIC)中发现的特权升级漏洞。以下是漏洞详情:

漏洞详情

来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-chvul-CKfGYBh8

CVE-2021-1579 CVSS评分:8.1 高

思科应用策略基础设施控制器 (APIC) 和思科云应用策略基础设施控制器 (Cloud APIC) 的 API 端点中的漏洞可能允许具有管理员 只读凭据的经过身份验证的远程攻击者提升受影响系统的权限。

此漏洞是由于基于角色的访问控制 (RBAC) 不足造成的。具有管理员 只读凭据的攻击者可以通过使用具有管理员写入凭据的应用发送特定API请求来利用此漏洞。成功的利用可能允许攻击者在受影响的设备上将权限提升为具有写入权限的管理员。

受影响产品

对于Cisco APIC 和 Cisco Cloud APIC 5.2之前版本,如果设备已安装并启用了具有管理员写入权限的应用,此漏洞会影响这些设备。

要确定设备是否具有启用管理员写入功能的应用程序,请执行以下操作:

1.打开 Web UI 并单击应用程序选项卡。

2.将鼠标指针悬停在已安装并启用的应用程序上(显示打开)。右上角会出现四个图标。

3.单击最左侧的图标以查看应用程序的权限和权限级别。如果显示Permissions:admin和Permission Level:write,则表明设备受到该漏洞的影响。

解决方案

Cisco APIC 或 Cisco Cloud APIC 3.2以及之前版本升级至3.2(10f)版本可修复

Cisco APIC 或 Cisco Cloud APIC 3.2 ~ 4.2之间版本升级至4.2(7l)版本可修复

Cisco APIC 或 Cisco Cloud APIC 4.2 ~ 5.2之间版本升级至5.2(2f)版本可修复

查看更多漏洞信息 以及升级请访问官网:

https://tools.cisco.com/security/center/publicationListing.x

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

手机游戏更多