GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

Cisco ACI MSO API身份验证绕过缝隙（CVE-2021-1388）

颁布功夫 2021-02-25

0x00 缝隙概述

CVE ID	CVE-2021-1388	时间	2021-02-25
类型	身份验证绕过	等级	严沉
远程利用	是	影响领域	Cisco ACI MSO 3.0

0x01 缝隙详情

Cisco Multi-Site Orchestrator（MSO）可通过运营商能够实现混合云规划，在DCNM、ACI、云和跨域的边缘领域内界说和协调网络战术。

2021年02月24日，Cisco颁布安全布告，建复了Cisco ACI MSO API接口上的一个严沉的身份验证绕过缝隙（CVE-2021-1388），该缝隙的CVSS评分为10.0。

该缝隙是特定API接口上的token验证不正确造成的。攻击者能够通过向受影响的API发送恶意要求来利用此缝隙。成功利用此缝隙的攻击者可能获得拥有治理员权限的token，最终绕过受影响设备上的身份验证。

该缝隙仅影响Cisco ACI MSO 3.0版本（Cisco ACI MSO 3.0(1i)版本不受影响），并且仅在部署于Cisco Application Services Engine统一利用托管平台上时才受影响。

此表，Cisco还建复了Cisco Application Services Engine（Cisoc利用服务引擎）中的一个严沉的未授权接见缝隙（CVE-2021-1393）和Cisco NX-OS中的一个肆意文件操作缝隙（CVE-2021-1361），这2个缝隙的CVSS评分均为9.8。攻击者能够通过利用这些缝隙未授权接见设备、更改配置、创建、删除或以root权限覆盖肆意文件。

0x02 措置建议

目前该缝隙已被建复，建议实时升级到Cisco ACI MSO 3.0（3m）版本。

下载链接：

https://software.cisco.com/download/home

0x03 参考链接

https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir#~Vulnerabilities

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mso-authbyp-bb5GmBQv?

https://www.bleepingcomputer.com/news/security/cisco-fixes-maximum-severity-mso-auth-bypass-vulnerability/

0x04 功夫线

2021-02-24 Cisco颁布安全布告

2021-02-25 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】