云安全日报220721：思科混合云运维管理解决方案发现执行任意命令漏洞，需要尽快升级

Cisco Nexus Dashboard是思科公司一个简化的集中式数据中心管理解决方案,可以轻松地管理混合云网络运维。lfu28资讯网——每日最新资讯28at.com

7月20日,思科公司发布了安全更新，修复了思科混合云网络运维管理解决方案中发现执行任意命令漏洞。以下是漏洞详情：lfu28资讯网——每日最新资讯28at.com

漏洞详情lfu28资讯网——每日最新资讯28at.com

来源：lfu28资讯网——每日最新资讯28at.com

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ndb-mhcvuln-vpsBPJ9ylfu28资讯网——每日最新资讯28at.com

1.CVE-2022-20857 CVSS评分: 9.8 严重程度:严重lfu28资讯网——每日最新资讯28at.com

Cisco Nexus Dashboard 中的漏洞可能允许未经身份验证的远程攻击者访问在数据网络中运行的特定 API 并在受影响的设备上执行任意命令。lfu28资讯网——每日最新资讯28at.com

该漏洞是由于对特定 API 的访问控制不足。攻击者可以通过向受影响的 API 发送精心设计的 HTTP 请求来利用此漏洞。成功的利用可能允许攻击者以root用户身份在节点上的任何 pod 中执行任意命令。lfu28资讯网——每日最新资讯28at.com

2.CVE-2022-20861 CVSS评分: 8.8 严重程度:高lfu28资讯网——每日最新资讯28at.com

Cisco Nexus Dashboard 的管理网络中运行的 Web UI 中的漏洞可能允许未经身份验证的远程攻击者对受影响的设备进行跨站点请求伪造 (CSRF) 攻击。lfu28资讯网——每日最新资讯28at.com

此漏洞是由于受影响设备上的 Web UI 的 CSRF 保护不足。攻击者可以通过说服基于 Web 的管理界面的经过身份验证的管理员单击恶意链接来利用此漏洞。成功的利用可能允许攻击者在受影响的设备上执行具有管理员权限的操作。lfu28资讯网——每日最新资讯28at.com

3.CVE-2022-20858 CVSS评分: 8.2 严重程度:高lfu28资讯网——每日最新资讯28at.com

Cisco Nexus Dashboard中的漏洞可能允许未经身份验证的远程攻击者访问在受影响设备的数据和管理网络中运行的服务。lfu28资讯网——每日最新资讯28at.com

该漏洞是由于管理容器映像的服务的访问控制不足。攻击者可以通过打开与受影响服务的 TCP 连接来利用此漏洞。成功的利用可能允许攻击者下载容器图像或将恶意容器图像上传到受影响的设备。恶意图像将在设备重新启动或 Pod 重新启动后运行。lfu28资讯网——每日最新资讯28at.com

受影响产品lfu28资讯网——每日最新资讯28at.com

Cisco Nexus Dashboard 2.2及先前版本lfu28资讯网——每日最新资讯28at.com

解决方案lfu28资讯网——每日最新资讯28at.com

Cisco Nexus Dashboard 升级至2.2(1e)可修复lfu28资讯网——每日最新资讯28at.com

查看更多漏洞信息 以及升级请访问官网：lfu28资讯网——每日最新资讯28at.com

https://tools.cisco.com/security/center/publicationListing.xlfu28资讯网——每日最新资讯28at.com

本文链接：http://www.28at.com/showinfo-119-2426-0.html云安全日报220721：思科混合云运维管理解决方案发现执行任意命令漏洞，需要尽快升级

声明：本网页内容旨在传播知识，若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。邮件：2376512515@qq.com

上一篇： 京东云联合Forrester咨询发布混合云报告 云原生成为驱动产业发展新引擎

下一篇： 算力时代，全光品质运力网络为何成为“必须”