某厂商的应用策略基础设施控制器(APIC)与云应用策略基础设施控制器(Cloud APIC)存在严重的任意文件读写漏洞,CVE-2021-1577,CVSS 评分 9.1(高危)。漏洞来源于对访问控制的错误实现,未授权的远程攻击者可利用特定 API 端点上传文件至受影响设备,从而在设备上读取或写入任意文件。
漏洞要点
漏洞编号:CVE-2021-1577
CVSS 评分:9.1(高)
受影响的组件:应用策略基础设施控制器(APIC)与云应用策略基础设施控制器(Cloud APIC)的 API 端点。
漏洞原因:访问控制不当,攻击者可通过特定 API 端点上传文件并在受影响设备上读取或写入任意文件。
受影响的版本
- APIC(思科应用策略基础设施控制器)及 Cloud APIC 5.2 之前的版本均受影响。
解决方案与升级路径
厂商已发布软件更新来修复该漏洞,建议用户升级到以下修复版本:
- APIC/Cloud APIC:3.2 及之前版本升级到可修复版本
- 4.0 与 4.1 版本升级到可修复版本
- 4.2 版本升级到 4.2(6h) 版本
- 5.0 版本升级到可修复版本
- 5.1 版本升级到 5.1(3e) 版本
如需查看更多漏洞信息与升级详情,请访问官方发布页面。原始链接如下:
https://Tools.cisco.coM/security/centeR/publicationlisting.x
