Slide thumbnail

اخبار > آسیب‌پذیری‌های بحرانی در DNA Center و Prime Infrastructure سیسکو



سیسکو به تازگی خبر از آسیب‌پذیری‌های بحرانی‌ای در دو محصول Cisco Prime Infrastructure و Cisco Digital Network Architecture Center داده و برای آن‌ها به‌روزرسانی منتشر کرده است.

آسیب‌پذیری‌ای در وب سرور HTTP محصول Cisco Prime Infrastructure وجود دارد که علت آن مجوزهای نامحدود دایرکتوری است. این آسیب‌پذیری به مهاجم احراز هویت نشده و غیرمحلی (از راه دور)، اجازه بارگذاری فایل دلخواه را می‌دهد. مهاجم با استفاده از این فایل می‌تواند با سطح دسترسی کاربر prime دستوراتی را اجرا کند. البته کاربر prime دسترسی مدیریتی یا root ندارد. برای رفع این مشکل به‌روزرسانی ارائه شده، اما برای رفع آن می‌توان سرور TFTP را برای Cisco PI غیرفعال کرد.

شناسه: CVE-2018-15379

CVSS: Base 7.3

دو آسیب‌پذیری نیز در محصول Cisco Digital Network Architecture Center وجود دارند. یکی از این دو آسیب‌پذیری به مهاجم غیرمحلی احراز هویت‌نشده اجازه دسترسی به قابلیت‌های مدیریتی حیاتی را می‌دهد. ریشه این مشکل در پیکربندی پیش‌فرض محصول است. مهاجم می‌تواند به طور مستقیم به سرویس‌های در دسترس وصل شده و از این آسیب سوء استفاده کند. همچنین می‌تواند فایل‌های حیاتی سیستم را به دست آورده و دستکاری کند.

شناسه: CVE-2018-15386

CVSS: Base 9.8

آسیب‌پذیری دیگری نیز در این محصول وجود دارد که به مهاجم غیرمحلی و احراز هویت نشده اجازه کنترل کامل قابلیت‌های مدیریت هویت (identity management) را می‌دهد. این آسیب‌پذیری ناشی از محدودیت‌های ناکافی برای قابلیت‌های مدیریتی حیاتی است. مهاجم می‌تواند کاربران فعلی سیستم را ببیند و دستکاری کند یا کاربر جدید بسازد. برای این دو آسیب‌پذیری نیز به‌روزرسانی ارائه شده است.

شناسه: CVE-2018-0448

CVSS: Base 9.8

منابع:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181003-pi-tftp

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181003-dna-unauth-access

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20181003-dna-auth-bypass

 


             

 

گروه خبری : اخبار ورویدادها    جمعه ١٣ مهر ١٣٩٧  ساعت: ٠٠:٥٤     تعداد نمایش: 720    کد خبر: ١٤٣٥٨


 

نظرات بینندگان
این خبر فاقد نظر می باشد
نظر شما
نام :
ایمیل : 
*نظرات :
متن تصویر:
 





تقویم شمسی

ناحیه کاربری

ورود به سایت
نام کاربری :   
کلمه عبور :   
 
متن تصویر:
عضویت
[فراموشی رمز توسط ایمیل]