云安全日报220721：思科混合云运维管理解决方案发现执行任意命令漏洞，需要尽快升级

Cisco Nexus Dashboard是思科公司一个简化的集中式数据中心管理解决方案,可以轻松地管理混合云网络运维。

7月20日,思科公司发布了安全更新，修复了思科混合云网络运维管理解决方案中发现执行任意命令漏洞。以下是漏洞详情：

漏洞详情

来源：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-mhcvuln-vpsBPJ9y

1.CVE-2022-20857 CVSS评分: 9.8 严重程度:严重

Cisco Nexus Dashboard 中的漏洞可能允许未经身份验证的远程攻击者访问在数据网络中运行的特定 API 并在受影响的设备上执行任意命令。

该漏洞是由于对特定 API 的访问控制不足。攻击者可以通过向受影响的 API 发送精心设计的 HTTP 请求来利用此漏洞。成功的利用可能允许攻击者以root用户身份在节点上的任何 pod 中执行任意命令。

2.CVE-2022-20861 CVSS评分: 8.8 严重程度:高

Cisco Nexus Dashboard 的管理网络中运行的 Web UI 中的漏洞可能允许未经身份验证的远程攻击者对受影响的设备进行跨站点请求伪造 (CSRF) 攻击。

此漏洞是由于受影响设备上的 Web UI 的 CSRF 保护不足。攻击者可以通过说服基于 Web 的管理界面的经过身份验证的管理员单击恶意链接来利用此漏洞。成功的利用可能允许攻击者在受影响的设备上执行具有管理员权限的操作。

3.CVE-2022-20858 CVSS评分: 8.2 严重程度:高

Cisco Nexus Dashboard中的漏洞可能允许未经身份验证的远程攻击者访问在受影响设备的数据和管理网络中运行的服务。

该漏洞是由于管理容器映像的服务的访问控制不足。攻击者可以通过打开与受影响服务的 TCP 连接来利用此漏洞。成功的利用可能允许攻击者下载容器图像或将恶意容器图像上传到受影响的设备。恶意图像将在设备重新启动或 Pod 重新启动后运行。

受影响产品

Cisco Nexus Dashboard 2.2及先前版本

解决方案

Cisco Nexus Dashboard 升级至2.2(1e)可修复

查看更多漏洞信息 以及升级请访问官网：

https://tools.cisco.com/security/center/publicationListing.x