不足的访问控制和CSRF保护产生关键和高度严重性问题
Cisco Nexus仪表板中的严重漏洞为攻击者提供了执行任意命令作为root,上传容器图像文件或执行任意命令的可行途径跨站点伪造((CSRF)攻击。
通过内部测试发现,在数据中心管理平台的最新软件更新中已经修补了未经验证的错误的三重奏 - 一个关键的错误,两个高度严重性。
思科说这不知道任何对脆弱性的恶意虐待。
脆弱的API
最严重的问题是,关键的CVSS得分为9.8,可能使攻击者能够访问脆弱的人API在数据网络中运行并执行任意命令(CVE-2022-20857)。
可以通过向API发送精心设计的HTTP请求来滥用漏洞访问控件,意味着攻击者可以“在节点上的任何pod中执行任意命令作为root用户”,读取安全咨询于7月20日出版。
两个高严重性问题中最严重的是CSRF错误(CVSS 8.8),它存在于管理网络中的Web UI中。beplay体育能用吗
漏洞(CVE-2022-20861)可以说服身份验证基于Web的管理接口的管理员单击恶意链接。beplay体育能用吗”如果他们实现这一目标,攻击者可以“在受影响的设备上使用管理员特权执行操作”。
最后,CVSS额定值为8.2(CVE-2022-20858)的缺陷公开了管理数据和管理网络中容器图像的服务。
由于访问控件不足而引起的,可以“通过与受影响的服务打开TCP连接”,下载容器图像或将恶意容器图像上传到受影响的设备上。思科补充说:“恶意图像将在设备重新启动或重新启动吊舱后运行。”
Cisco Nexus仪表板的脆弱版本(以前称为Cisco Application Services Engine)为1.1、2.0、2.1和2.2(尽管版本1.1不受CVE-2022-20858的影响)。所有三个缺陷均在版本2.2(1E)中解决。
思科无法提供解决方法来减轻风险。
你可能还喜欢Zyxel防火墙漏洞使业务网络开放为滥用
