Cisco NX-OS Software NX-API命令注入漏洞

CVE编号

CVE-2019-1614

利用情况

暂无

补丁情况

N/A

披露时间

2019-03-12

漏洞描述

Cisco NX-OS软件的NX-API特性中的一个漏洞可能允许经过身份验证的远程攻击者使用根特权执行任意命令。此漏洞是由于NX-API子系统对用户提供的数据进行了不正确的输入验证。攻击者可以通过向启用了NX-API特性的受影响系统的管理接口发送恶意HTTP或HTTPS数据包来利用此漏洞。成功的攻击可以允许攻击者执行命令注入攻击，并使用根特权执行任意命令。注意:NX-API在默认情况下是禁用的。MDS 9000系列多层交换机在运行8.1(1b)和8.2(3)之前的软件版本时受到影响。Nexus 3000系列开关在运行于7.0(3)I4(9)和7.0(3)I7(4)之前的软件版本时受到影响。Nexus 3500平台交换机在运行7.0(3)I7(4)之前的软件版本时受到影响。Nexus 2000、5500、5600和6000系列交换机在运行于7.3(4)N1(1)之前的软件版本时受到影响。独立的NX-OS模式下的Nexus 9000系列交换机在运行7.0(3)I4(9)和7.0(3)I7(4)之前的软件版本时受到影响。Nexus 7000和7700系列交换机在运行软件版本7.3(3)D1(1)和8.2(3)之前受到影响。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://www.securityfocus.com/bid/107339
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-s...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	cisco	nx-os	*		Up to (excluding) 7.0\(3\)i4\(9\)
	运行在以下环境
	系统	cisco	nx-os	*		Up to (excluding) 7.3\(3\)i4\(9\)
	运行在以下环境
	系统	cisco	nx-os	*	From (including) 7.0\(3\)	Up to (excluding) 7.0\(3\)i7\(4\)
	运行在以下环境
	系统	cisco	nx-os	*	From (including) 7.0\(3\)i5	Up to (excluding) 7.0\(3\)i7\(4\)
	运行在以下环境
	系统	cisco	nx-os	*	From (including) 7.2	Up to (excluding) 7.3\(3\)d1\(1\)
	运行在以下环境
	系统	cisco	nx-os	*	From (including) 7.3	Up to (excluding) 7.3\(4\)n1\(1\)
	运行在以下环境
	系统	cisco	nx-os	*	From (including) 7.3	Up to (excluding) 8.1\(1b\)
	运行在以下环境
	系统	cisco	nx-os	*	From (including) 8.0	Up to (excluding) 8.2\(3\)
	运行在以下环境
	系统	cisco	nx-os	*	From (including) 8.2	Up to (excluding) 8.3\(2\)
	运行在以下环境
	系统	cisco	nx-os	*	From (including) 8.3	Up to (excluding) 8.3\(2\)
	运行在以下环境
	硬件	cisco	mds_9000	-	-
	运行在以下环境
	硬件	cisco	nexus_2000	-	-
	运行在以下环境
	硬件	cisco	nexus_3000	-	-
	运行在以下环境
	硬件	cisco	nexus_3500	-	-
	运行在以下环境
	硬件	cisco	nexus_5500	-	-
	运行在以下环境
	硬件	cisco	nexus_5600	-	-
	运行在以下环境
	硬件	cisco	nexus_6000	-	-
	运行在以下环境
	硬件	cisco	nexus_7000	-	-
	运行在以下环境
	硬件	cisco	nexus_7700	-	-
	运行在以下环境
	硬件	cisco	nexus_9000	-	-

攻击路径网络
攻击复杂度低
权限要求低
影响范围未更改
用户交互无
可用性高
保密性高
完整性高

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CWE-ID 漏洞类型 CWE-78 OS命令中使用的特殊元素转义处理不恰当（OS命令注入）

正文

Cisco NX-OS Software NX-API命令注入漏洞

漏洞描述

解决建议

参考链接

受影响软件情况

相关阅读

Cisco Web Security Appliance devices安全机制绕过漏洞

OpenStack Orchestration API拒绝服务漏洞

Oracle GoldenGate存在未明漏洞（CNVD-2016-00778）

Cisco Unified Computing System Manager和FX-OS for Firepower 9000 Series远程代码执行漏洞

发表评论取消回复

还没有评论，来说两句吧...

目录[+]