Срочно. Критические недостатки найдены в Cisco SD-WAN vManage и HyperFlex

Критические недостатки найдены в ПО Cisco SD-WAN vManage и HyperFlex. Фото: Pixabay

В серии рекомендаций, опубликованных 5 мая, компания заявила, что не существует обходных путей для решения проблемы.

Уязвимости внедрения команд HyperFlex HX, получившие коды CVE-2021-1497 и CVE-2021-1498 (оценка CVSS 9,8), затрагивают все устройства Cisco, на которых работает программное обеспечение HyperFlex HX версий 4.0, 4.5 и до 4.0. Возникшие из-за недостаточной проверки вводимых пользователем данных в веб-интерфейсе управления платформой данных Cisco HyperFlex HX Data Platform, уязвимости могут позволить неаутентифицированному удалённому злоумышленнику выполнить атаку с внедрением команд против уязвимого устройства, сообщает компания.

Из сообщения Cisco:

«Злоумышленник может воспользоваться этой уязвимостью, отправив искусственный запрос в веб-интерфейс управления. Успешный эксплойт может позволить злоумышленнику выполнять произвольные команды» либо как пользователь root, либо как пользователь tomcat8».

Cisco также устранила пять сбоев, влияющих на программное обеспечение SD-WAN vManage (CVE-2021-1275, CVE-2021-1468, CVE-2021-1505, CVE-2021-1506 и CVE-2021-1508), что могло позволить неавторизованноve удалённоve злоумышленнику захватить систему или получить доступ к конфиденциальной информации, или позволить аутентифицированному локальному злоумышленнику получить расширенные привилегии или получить несанкционированный доступ к приложению.

Хотя нет никаких доказательств злонамеренного использования уязвимостей, рекомендуется, чтобы пользователи обновились до последней версии, чтобы снизить риск, связанный с недостатками.