思科两款网络管理产品近日披露高危安全漏洞,相关用户应尽快完成版本排查与升级修复。
涉及产品包括 Cisco Prime Infrastructure(基础网络生命周期管理解决方案)以及 Cisco EPN Manager(网络管理解决方案)。
漏洞概述
2021年5月19日,思科发布安全更新,修复了上述产品中一个可导致任意命令执行的漏洞。
CVE 编号:CVE-2021-1487
CVSS 评分:8.8
严重程度:高危
该漏洞存在于产品的 Web 管理界面中,经过身份验证的远程攻击者可利用该问题,在受影响系统上执行任意命令。
成因与影响
漏洞产生的原因是 Web 管理界面对用户输入校验不足。攻击者可通过向相关接口发送精心构造的 HTTP 请求触发漏洞。
一旦利用成功,攻击者可在底层操作系统中以特定非 Root 用户权限执行任意命令,进而对受影响系统实施控制。这可能带来以下安全风险:
- 获取或篡改敏感数据
- 下发任意配置文件
- 检索设备凭证及其他机密信息
- 影响被管理设备的稳定性
- 在严重情况下引发拒绝服务(DoS)问题
受影响版本
以下版本受到影响:
- Cisco Prime Infrastructure 3.9 之前版本
- Cisco EPN Manager 5.1 之前版本
修复版本
思科已在以下版本中完成修复:
- Cisco Prime Infrastructure 3.9 及更高版本
- Cisco EPN Manager 5.1 及更高版本
处置建议
如果您的网络环境中部署了上述产品,建议尽快核查当前版本,并升级到官方已修复版本,以降低被利用风险。
更多漏洞信息及升级说明可参考思科官方安全页面:
https://tools.cisco.com/security/center/publicationListing.x
