Cisco ACI MSO API身份验证绕过误差(CVE-2021-1388)

宣布时间 2021-02-25

0x00 误差概述

CVE  ID

CVE-2021-1388

时   间

2021-02-25

类   型

身份验证绕过

等   级

严重

远程使用

影响规模

Cisco ACI MSO 3.0

 

0x01 误差详情

image.png

 

Cisco Multi-Site Orchestrator(MSO)可通过运营商可以实现混淆云计划 ,在DCNM、ACI、云和跨域的边沿规模内界说和协调网络战略。

2021年02月24日 ,Cisco宣布清静通告 ,修复了Cisco ACI MSO API接口上的一个严重的身份验证绕过误差(CVE-2021-1388) ,该误差的CVSS评分为10.0。

该误差是特定API接口上的token验证不准确造成的。攻击者可以通过向受影响的API发送恶意请求来使用此误差。乐成使用此误差的攻击者能够获得具有治理员权限的token ,最终绕过受影响设惫亓身份验证。

该误差仅影响Cisco ACI MSO 3.0版本(Cisco ACI MSO 3.0(1i)版本不受影响) ,并且仅在安排于Cisco Application Services Engine统一应用托管平台上时才受影响。

别的 ,Cisco还修复了Cisco Application Services Engine(Cisoc应用服务引擎)中的一个严重的未授权会见误差(CVE-2021-1393)和Cisco NX-OS中的一个恣意文件操作误差(CVE-2021-1361) ,这2个误差的CVSS评分均为9.8。攻击者可以通过使用这些误差未授权会见装备、更改设置、建设、删除或以root权限笼罩恣意文件。 

 

0x02 处置惩罚建议

现在该误差已被修复 ,建议实时升级到Cisco ACI MSO 3.0(3m)版本。

下载链接:

https://software.cisco.com/download/home

 

0x03 参考链接

https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir#~Vulnerabilities

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-mso-authbyp-bb5GmBQv?

https://www.bleepingcomputer.com/news/security/cisco-fixes-maximum-severity-mso-auth-bypass-vulnerability/

 

0x04 时间线

2021-02-24  Cisco宣布清静通告

2021-02-25  VSRC宣布清静通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png