鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

Cisco ACI MSO API身份验证绕过误差（CVE-2021-1388）

宣布时间 2021-02-25

0x00 误差概述

CVE ID	CVE-2021-1388	时间	2021-02-25
类型	身份验证绕过	等级	严重
远程使用	是	影响规模	Cisco ACI MSO 3.0

0x01 误差详情

Cisco Multi-Site Orchestrator（MSO）可通过运营商可以实现混淆云计划，，，，在DCNM、ACI、云和跨域的边沿规模内界说和协调网络战略。。。。

2021年02月24日，，，，Cisco宣布清静通告，，，，修复了Cisco ACI MSO API接口上的一个严重的身份验证绕过误差（CVE-2021-1388），，，，该误差的CVSS评分为10.0。。。。

该误差是特定API接口上的token验证不准确造成的。。。。攻击者可以通过向受影响的API发送恶意请求来使用此误差。。。。乐成使用此误差的攻击者能够获得具有治理员权限的token，，，，最终绕过受影响设惫亓身份验证。。。。

该误差仅影响Cisco ACI MSO 3.0版本（Cisco ACI MSO 3.0(1i)版本不受影响），，，，并且仅在安排于Cisco Application Services Engine统一应用托管平台上时才受影响。。。。

别的，，，，Cisco还修复了Cisco Application Services Engine（Cisoc应用效劳引擎）中的一个严重的未授权会见误差（CVE-2021-1393）和Cisco NX-OS中的一个恣意文件操作误差（CVE-2021-1361），，，，这2个误差的CVSS评分均为9.8。。。。攻击者可以通过使用这些误差未授权会见装备、更改设置、建设、删除或以root权限笼罩恣意文件。。。。

0x02 处置惩罚建议

现在该误差已被修复，，，，建议实时升级到Cisco ACI MSO 3.0（3m）版本。。。。

下载链接：

https://software.cisco.com/download/home

0x03 参考链接

https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir#~Vulnerabilities

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mso-authbyp-bb5GmBQv?

https://www.bleepingcomputer.com/news/security/cisco-fixes-maximum-severity-mso-auth-bypass-vulnerability/

0x04 时间线

2021-02-24 Cisco宣布清静通告

2021-02-25 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】