首页 > 清静研究 > 清静转达 > 清静通告

思科多款产品严重误差清静通告

宣布时间 2018-07-20

误差编号
CVE-2018-0376
CVE-2018-0377
CVE-2018-0374
CVE-2018-0375

等25个误差，，，，见下文列表。。。

误差级别
严重

厂商自评：9.8 CVSS分值：官方未评定

影响版本

Policy Suite、SD-WAN、WebEx 和 Nexus 产品

误差概述

7月18日，，，，思科见告客户，，，，它已在其Policy Suite, SD-WAN, WebEx 和Nexus产品中发明并修补了25个误差（4个critical，，，，9个high，，，，12个medium）。。。如下：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

从 Policy Suite 中发明四个严重缺陷，，，，其中两个清静误差是未认证会见权限问题，，，，可导致远程攻击者会见 Policy Builder 界面和开放效劳网关建议 (OSGi) 接口。。。

CVE-2018-0376
一旦获得由于缺乏身份验证而袒露的Policy Builder interface的会见权限，，，，攻击者就可以对现有存储库举行更改并建设新的存储库。。。
CVE-2018-0377
OSGi接口允许攻击者会见或更改OSGi历程可会见的任何文件。。。
CVE-2018-0374
缺乏认证机制还可导致 Policy Builder 数据库遭袒露，，，，从而导致攻击者会见并更改存储在其中的任何数据。。。
CVE-2018-0375
Policy Suite中的Cluster Manager保存一个具有默认、静态凭证的root帐户。。。远程攻击者可以登录此帐户并使用root权限执行恣意下令。。。
思科还修复了 SD-WAN 解决计划中保存的七个误差。。。其中唯逐一个在无需认证的情形下能遭远程使用的误差影响 Touch Provision 效劳，，，，它可导致攻击者引发 DoS 条件。。。
其它的 SD-WAN 清静误差要求举行认证，，，，如遭使用，，，，可覆写底层操作系统上的恣意文件并以 vmanage 或根权限执行恣意下令。。。其中的一个 SD-WAN 误差使用要求认证和外地会见权限。。。
思科还通知消耗者称其 Nexus 9000 系列的 Fabric 交流机，，，，详细是 DHCPv6 功效，，，，它受一个高危缺陷影响，，，，可遭远程未经认证的攻击者用于引发 DoS 条件。。。

思科还将多个影响思科 Webex Network Recording Player for AdvancedRecording Format (ARF) 和 WebexRecording Format (WRF) 文件的误差评为高危误差。。。攻击者通过让目的用户使用受影响播放器翻开特殊结构的 ARF 或 WRF 文件就能执行恣意代码。。。

修复建议：

思科官方已经宣布新版本修复了上述误差，，，，用户应实时升级举行防护。。。

参考链接：
https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir&limit=100#~Vulnerabilities
https://www.securityweek.com/cisco-finds-serious-flaws-policy-suite-sd-wan-products

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

思科多款产品严重误差清静通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线