云安全日报220609:思科云应用策略基础设施控制器发现特权升级漏洞,需要尽快升级

云安全日报220609:思科云应用策略基础设施控制器发现特权升级漏洞,需要尽快升级
2022年06月09日 16:03 TechWeb

6月7日,思科公司发布了安全更新,修复了思科应用策略基础设施控制器 (APIC) 和思科云应用策略基础设施控制器 (Cloud APIC)中发现的特权升级漏洞。以下是漏洞详情:

漏洞详情

来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-chvul-CKfGYBh8

CVE-2021-1579 CVSS评分:8.1 高

思科应用策略基础设施控制器 (APIC) 和思科云应用策略基础设施控制器 (Cloud APIC) 的 API 端点中的漏洞可能允许具有管理员 只读凭据的经过身份验证的远程攻击者提升受影响系统的权限。

此漏洞是由于基于角色的访问控制 (RBAC) 不足造成的。具有管理员 只读凭据的攻击者可以通过使用具有管理员写入凭据的应用发送特定API请求来利用此漏洞。成功的利用可能允许攻击者在受影响的设备上将权限提升为具有写入权限的管理员。

受影响产品

对于Cisco APIC 和 Cisco Cloud APIC 5.2之前版本,如果设备已安装并启用了具有管理员写入权限的应用,此漏洞会影响这些设备。

要确定设备是否具有启用管理员写入功能的应用程序,请执行以下操作:

1.打开 Web UI 并单击应用程序选项卡。

2.将鼠标指针悬停在已安装并启用的应用程序上(显示打开)。右上角会出现四个图标。

3.单击最左侧的图标以查看应用程序的权限和权限级别。如果显示Permissions:admin和Permission Level:write,则表明设备受到该漏洞的影响。

解决方案

Cisco APIC 或 Cisco Cloud APIC 3.2以及之前版本升级至3.2(10f)版本可修复

Cisco APIC 或 Cisco Cloud APIC 3.2 ~ 4.2之间版本升级至4.2(7l)版本可修复

Cisco APIC 或 Cisco Cloud APIC 4.2 ~ 5.2之间版本升级至5.2(2f)版本可修复

查看更多漏洞信息 以及升级请访问官网:

https://tools.cisco.com/security/center/publicationListing.x

新浪科技公众号
新浪科技公众号

“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)

创事记

科学探索

科学大家

苹果汇

众测

专题

官方微博

新浪科技 新浪数码 新浪手机 科学探索 苹果汇 新浪众测

公众号

新浪科技

新浪科技为你带来最新鲜的科技资讯

苹果汇

苹果汇为你带来最新鲜的苹果产品新闻

新浪众测

新酷产品第一时间免费试玩

新浪探索

提供最新的科学家新闻,精彩的震撼图片