Cisco Enterprise NFV Infrastructure Software 日志信息泄露漏洞

CVE编号

CVE-2019-1953

利用情况

暂无

补丁情况

N/A

披露时间

2019-08-08

漏洞描述

Cisco Enterprise NFV基础设施软件（NFVIS）门户网站中的漏洞可能允许经过身份验证的远程攻击者以明文形式查看密码。该漏洞是由于在首次登录Web门户时强制用户修改默认密码时错误地记录管理员密码。不会记录后续密码更改，也不会影响其他帐户。攻击者可以通过查看管理员明文密码并使用它来访问受影响的系统来利用此漏洞。攻击者需要有效的用户帐户才能利用此漏洞。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvk44389

参考链接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-s...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	cisco	enterprise_network_function_virtualization_infrastructure	*		Up to (excluding) 3.9.1
	运行在以下环境
	系统	redhat_7	bpftool	*		Up to (excluding) 0:3.10.0-1160.21.1.el7
	运行在以下环境
	系统	redhat_7	bpftool	*		Up to (excluding) 0:3.10.0-1160.el7
	运行在以下环境
	系统	redhat_7	kernel-rt	*		Up to (excluding) 0:3.10.0-1160.21.1.rt56.1158.el7
	运行在以下环境
	系统	redhat_7	kernel-rt	*		Up to (excluding) 0:3.10.0-1160.rt56.1131.el7
	运行在以下环境
	系统	suse_12	kernel-azure	*		Up to (excluding) 4.12.14-6.34
	运行在以下环境
	系统	ubuntu_14.04_lts	linux-aws	*		Up to (excluding) 4.4.0-1056.60
	运行在以下环境
	系统	ubuntu_16.04_lts	linux	*		Up to (excluding) 4.4.0-166.195
	运行在以下环境
	系统	ubuntu_18.04_lts	linux	*		Up to (excluding) 4.15.0-65.74
查看完整数据

CVSS3评分 6.5

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 低
• 影响范围 未更改
• 用户交互 无
• 可用性 无
• 保密性 高
• 完整性 无

CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CWE-ID 漏洞类型 CWE-532 通过日志文件的信息暴露