Cisco Nexus Dashboard是思科公司简化的集中数据中心管理解决方案,可轻松管理混合云网络运维。
7月20日,思科发布安全更新,修复了思科混合云网络运维管理解决方案中发现的任何命令漏洞。以下是漏洞的详细信息:
漏洞详情
来源:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-mhcvuln-vpsBPJ9y
1.CVE-2022-20857 CVSS评分: 9.8 严重程度:严重程度
Cisco Nexus Dashboard 未经身份验证的远程攻击者可以访问运行在数据网络中的特定漏洞 API 并在受影响的设备上执行任何命令。
这个漏洞是由于的 API 访问控制不足。攻击者可以受到影响 API 发送精心设计的 HTTP 请求使用这个漏洞。成功使用可能允许攻击者使用root节点上的任何用户身份 pod 执行任何命令。
2.CVE-2022-20861 CVSS评分: 8.8 严重程度:高
Cisco Nexus Dashboard 的管理网络中运行的 Web UI 未经身份验证的远程攻击者可能会要求伪造受影响的设备 (CSRF) 攻击。
这个漏洞是由于设备受到影响 Web UI 的 CSRF 缺乏保护。攻击者可以基于说服 Web 的管理界面的经过身份验证的管理员单击恶意链接来利用此漏洞。成功的利用可能允许攻击者在受影响的设备上执行具有管理员权限的操作。
3.CVE-2022-20858 CVSS评分: 8.2 严重程度:高
Cisco Nexus Dashboard未经身份验证的远程攻击者可以访问受影响设备的数据和管理网络中的服务。
这个漏洞是由于管理容器图像服务的访问控制不足。攻击者可以打开和影响服务 TCP 连接利用这个漏洞。成功使用可能允许攻击者下载容器图像或将恶意容器图像上传到受影响的设备。恶意图像将在设备中重新启动 Pod 重启后运行。
受影响产品
Cisco Nexus Dashboard 2.2及先前版本
解决方案
Cisco Nexus Dashboard 升级至2.2(1e)可修复
查看更多漏洞信息 升级请访问官网:
https://tools.cisco.com/security/center/publicationListing.x
