Cisco Network Assurance Engine 信任管理问题漏洞

CVE编号

CVE-2019-1688

利用情况

暂无

补丁情况

N/A

披露时间

2019-02-13

漏洞描述

Cisco Network Assurance Engine（NAE）管理Web界面中的漏洞可能允许未经身份验证的本地攻击者获取未经授权的访问权限或导致服务器上的拒绝服务（DoS）情况。该漏洞是由NAE的密码管理系统中的错误引起的。攻击者可以通过受影响服务器的CLI使用默认管理员密码进行身份验证来利用此漏洞。成功利用可能允许攻击者查看潜在的敏感信息或使服务器停机，从而导致DoS情况。此漏洞会影响Cisco Network Assurance Engine（NAE）版本3.0（1）。默认密码条件仅影响版本3.0（1）的新安装。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://www.securityfocus.com/bid/107010
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-s...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	cisco	network_assurance_engine	3.0(1)	-
	运行在以下环境
	系统	alpine_3.11	runc	*		Up to (excluding) 1.3.0
	运行在以下环境
	系统	alpine_3.12	runc	*		Up to (excluding) 1.3.0-r0
	运行在以下环境
	系统	alpine_3.13	runc	*		Up to (excluding) 1.0.0_rc9-r0
	运行在以下环境
	系统	alpine_edge	runc	*		Up to (excluding) 1.3.0-r0
	运行在以下环境
	系统	amazon_2	runc	*		Up to (excluding) 1.0.0-0.1.20200204.gitdc9208a.amzn2
	运行在以下环境
	系统	centos_8	container-selinux	*		Up to (excluding) 0.1.37-6.module+el8.1.0+4876+e678a192
	运行在以下环境
	系统	debian_10	runc	*		Up to (excluding) 1.0.0~rc6+dfsg1-3
	运行在以下环境
	系统	debian_9	runc	*		Up to (excluding) 0.1.1+dfsg1-2+deb9u1
	运行在以下环境
	系统	fedora_29	runc	*		Up to (excluding) 1.0.0-95.rc9.gitc1485a1.fc29
	运行在以下环境
	系统	fedora_30	runc	*		Up to (excluding) 1.0.0-95.rc9.gitc1485a1.fc30
	运行在以下环境
	系统	fedora_31	runc	*		Up to (excluding) 1.0.0-101.rc9.gitc1485a1.fc31
	运行在以下环境
	系统	opensuse_Leap_15.0	runc	*		Up to (excluding) 1.0.0rc8
	运行在以下环境
	系统	opensuse_Leap_15.1	runc	*		Up to (excluding) 1.0.0rc8
	运行在以下环境
	系统	oracle_8	runc	*		Up to (excluding) 1.11.6-4.0.1.module+el8.1.1+5502+fbec5cc6
	运行在以下环境
	系统	redhat_8	container-selinux	*		Up to (excluding) 0.1.37-6.module+el8.1.0+4876+e678a192
查看完整数据

CVSS3评分 7.1

• 攻击路径 本地
• 攻击复杂度 低
• 权限要求 低
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 无

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:H CWE-ID 漏洞类型 CWE-798 使用硬编码的凭证