安全研究

安全漏洞
Cisco IOS XE软件命令注入漏洞(CVE-2019-1862)

发布日期:2019-06-05
更新日期:2019-06-05

受影响系统:
Cisco Cisco IOS XE Software Denali 16.3.7
描述:
BUGTRAQ  ID: 108331
CVE(CAN) ID: CVE-2019-1862

Cisco IOS XE软件是美国思科(Cisco)公司为其网络设备开发的操作系统。
Cisco IOS XE软件的基于Web的用户界面(Web UI)中的漏洞可能允许经过身份验证的远程攻击者使用root权限在受影响设备的底层Linux shell上执行命令。

出现此漏洞的原因是受影响的软件不正确地清理了用户提供的输入。拥有对受影响设备的有效管理员访问权限的攻击者可以通过在Web UI中的表单上提供精心设计的输入参数然后提交该表单来利用此漏洞。成功利用可能允许攻击者以root权限在设备上运行任意命令,这可能导致完全系统受损。

<*来源:Red Balloon安全公司的James Chambers
  
  链接:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui
*>

建议:
厂商补丁:

Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20190513-webui)以及相应补丁:
cisco-sa-20190513-webui:Cisco IOS XE Software Web UI Command Injection Vulnerability
链接:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui

补丁下载:

浏览次数:1912
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障