Cisco DNA Center是美国思科公司提供的网络管理与命令中心服务。
2023年1月25日,思科发布了安全公告,指出Cisco DNA Center软件中存在跨站请求伪造漏洞,建议用户尽快进行升级。以下是漏洞的详细信息:
漏洞详情
CVE-2021-1257 CVSS评分:7.1(高)
该漏洞位于Cisco DNA Center软件的Web管理界面中,可能使未经身份验证的远程攻击者进行跨站请求伪造(CSRF)攻击,从而操控经过身份验证的用户执行恶意操作,而无需获得用户的同意。
漏洞的根本原因是受影响设备的Web管理界面缺乏足够的CSRF防护。攻击者可以诱使Web管理用户点击特制的链接,从而利用此漏洞。一旦成功利用,攻击者便可以以经过身份验证用户的权限在设备上执行任意操作,包括修改设备配置、断开用户会话连接以及执行command Runner命令。
受影响的产品
此漏洞影响Cisco DNA Center Software版本2.1.1.0及之前的版本。
解决方案
该漏洞已在Cisco DNA Center Software版本2.1.1.0、2.1.2.0、2.1.2.3、2.1.2.4及更高版本中得到修复。
欲获取更多漏洞信息及升级指南,请访问官网:
[[[IMG_1]]]
