周三,思科通知消费者称在 Policy Suite、SD-WAN、WebEx 和 Nexus 产品中发现并修复了十多个严重和高危漏洞。
思科报道称,在内部测试过程中从 Policy Suite 中发现四个严重缺陷,其中两个安全漏洞是未认证访问权限问题,可导致远程攻击者访问 Policy Builder 界面和开放服务网关倡议 (OSGi) 接口。
由于缺乏认证,攻击者一旦获得访问 Policy Builder 接口的权限后就能改变现有的存储库并创建新的存储库。OSGi 接口可允许攻击者访问或更改任意可遭 OSGi 进程访问的文件。
缺乏认证机制还可导致 Policy Builder 数据库遭暴露,从而导致攻击者访问并更改存储在其中的任何数据。
思科还发现 Policy Suite 中的 Cluster 管理器拥有默认且静态凭证的根账户。远程攻击者能够登录到这个根账户并以根权限执行任意命令。
这些严重的 Policy Suite 漏洞的编号是 CVE-2018-0374、CVE-2018-0375、CVE-2018-0376 和 CVE-2018-0377。
思科还修复了 SD-WAN 解决方案中存在的七个漏洞。其中唯一一个在无需认证的情况下能遭远程利用的漏洞影响 Touch Provision 服务,它可导致攻击者引发 DoS 条件。
其它的 SD-WAN 安全漏洞要求进行认证,如遭利用,可覆写底层操作系统上的任意文件并以 vmanage 或根权限执行任意命令。其中的一个 SD-WAN 漏洞利用要求认证和本地访问权限。
思科还通知消费者称其 Nexus 9000 系列的 Fabric 交换机,具体是 DHCPv6 功能,它受一个高危缺陷影响,可遭远程未经认证的攻击者用于引发 DoS 条件。
思科还将多个影响思科 Webex Network Recording Player for Advanced Recording Format (ARF) 和 Webex Recording Format (WRF) 文件的漏洞评为高危漏洞。攻击者通过让目标用户使用受影响播放器打开特别构造的 ARF 或 WRF 文件就能执行任意代码。
思科于本周修复的这些漏洞均未遭恶意利用。
本文由360代码卫士翻译自 SecurityWeek
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。