近日,我司监测到Cisco发布安全公告,修复了多个存在于Cisco Nexus的安全漏洞。
Cisco是一间跨国际综合技术企业,主要开发、制作和售卖网络硬件、软件、通信设备等高科技产品及服务。
漏洞详情如下:
1. CVE-2022-20857 Cisco Nexus 仪表板任意命令执行漏洞
漏洞类型:命令执行
风险等级:严重
漏洞描述:该漏洞是由于对特定 API 的访问控制不足。攻击者可以通过向受影响的 API 发送精心设计的 HTTP 请求来利用此漏洞。成功的利用可能允许攻击者以root用户身份在节点上的任何 pod 中执行任意命令。
2. CVE-2022-20861 Cisco Nexus 仪表板跨站请求伪造漏洞
漏洞类型:跨站请求伪造
风险等级:高危
漏洞描述:此漏洞是由于受影响设备上的 Web UI 的 CSRF 保护不足。攻击者可以通过说服基于 Web 的管理界面的经过身份验证的管理员单击恶意链接来利用此漏洞。成功的利用可能允许攻击者在受影响的设备上执行具有管理员权限的操作。
3. CVE-2022-20858 Cisco Nexus Dashboard 容器镜像读写漏洞
漏洞类型:访问控制不足
风险等级:高危
漏洞描述:该漏洞是由于管理容器映像的服务没有足够的访问控制造成的。攻击者可以通过打开与受影响服务的 TCP 连接来利用此漏洞。攻击者可以利用此漏洞下载容器镜像或将恶意容器镜像上传到受影响设备。恶意映像将在设备重新启动或 Pod 重新启动后运行。
影响版本:
安全版本:
修复建议:
Cisco公司已经针对漏洞发布了更新,通过 Cisco (思科)的许可证对相应的系统进行更新,第三方采购用户通过以下链接获得相关支持,Cisco 支持服务如下链接:
https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html
评论已关闭。
豫公网安备 41010502004035号 
