NFV 基础架构软件平台是一套用于虚拟化服务全生命周期管理的解决方案,通过中央协调器和控制器实现各阶段作业的编排与管理。
9月1日,安全公告披露在 TACACS+ 身份验证、授权与计费(AAA)功能中存在身份验证绕过漏洞,建议尽快升级以降低风险。以下是漏洞要点:
漏洞要点
漏洞编号:CVE-2021-34746,CVSS 评分:9.8(高)。
该漏洞可能使未经身份验证的远程攻击者通过注入参数的方式利用身份验证脚本,进而绕过身份验证并以管理员身份登录受影响的设备。
漏洞根因在于对传递到身份验证脚本的输入校验不充分,攻击者可通过修改身份验证请求中的参数来实现利用。
受影响范围
若配置了 TACACS 外部身份验证方法,受影响的版本是 NFV 基础设施软件平台 Release 4.5.1。
解决方案
已在 Release 4.6.1 及更高版本中修补此漏洞,建议尽快升级以确保受影响设备的安全性。
更多漏洞信息与升级,请访问官方发布页面。
