思科数据中心网络管理器被曝多个严重缺陷

 聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

周三，思科通知消费者称其数据中心网络管理器 (DCNM) 产品受多个漏洞影响，其中不乏严重和高危级别的漏洞。

思科表示，DCNM 数据中心网络管理平台的 web 接口受两个严重安全漏洞的影响，其中一个是 CVE-2019-1620，它可导致远程为认证攻击者将任意文件上传至受影响设备中并以根权限执行代码。

第二个严重缺陷CVE-2019-1619 可被远程攻击者绕过认证并以管理员权限在受影响设备上执行任意活动。利用该漏洞涉及将特殊构造的 HTTP 请求发送至受影响设备。

另外一个潜在的严重漏洞是 CVE-2019-1621，它可导致远程攻击者获取对敏感文件的访问权限并下载它们。启动攻击包括请求特定URL，而无需认证。

最后，思科表示 DCNM还受一个信息泄露漏洞的影响。该漏洞可遭未认证的远程利用，以获取目标设备的日志文件和诊断信息。该安全漏洞的严重等级为“中危”。

这三个更严重的漏洞已通过软件更新的方式予以修复，但中危问题尚未推出补丁或缓解措施。

所有的这些漏洞都是由研究员 Pedro Ribeiro 通过 iDefense 漏洞贡献者计划报告给思科的，目前尚未有迹象表明这些漏洞已遭利用。

原文链接

https://www.securityweek.com/critical-flaws-found-cisco-data-center-network-manager

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点，转载请注明“转自奇安信代码卫士 www.codesafe.cn”。