云安全日报210126：思科网络管理和命令中心服务发现跨站请求伪造漏洞,需要尽快升级

原标题：云安全日报210126：思科网络管理和命令中心服务发现跨站请求伪造漏洞,需要尽快升级

Cisco DNA Center是美国思科（Cisco）公司的一个网络管理和命令中心服务。

1月25日,思科发布了安全公告,Cisco DNA Center软件发现跨站点请求伪造漏洞,建议尽快升级。以下是漏洞详情：

漏洞详情

来源：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-dnac-csrf-dC83cMcV

CVE-2021-1257 CVSS评分: 7.1 高

思科DNA Center软件基于Web的管理界面中的漏洞可能允许未经身份验证的远程攻击者进行跨站点请求伪造（CSRF）攻击，以操纵经过身份验证的用户执行恶意行为，而无需他们的同意。

该漏洞是由于对受影响设备的基于Web的管理界面没有足够的CSRF保护所致。攻击者可以说服基于Web的管理用户遵循经特殊设计的链接来利用此漏洞。成功利用此漏洞可使攻击者以经过身份验证的用户的权限在设备上执行任意操作。这些操作包括修改设备配置、断开用户会话的连接以及执行Command Runner命令。

受影响产品

此漏洞影响2.1.1.0之前的Cisco DNA Center Software版本。

解决方案

此漏洞在Cisco DNA Center Software版本* 2.1.1.0，* 2.1.2.0，* 2.1.2.3和2.1.2.4及更高版本中已修复。

查看更多漏洞信息 以及升级请访问官网：

https://tools.cisco.com/security/center/publicationListing.x