Срочно. Критические недостатки найдены в Cisco SD-WAN vManage и HyperFlex
Пользователей призывают немедленно применить патч, выпущенный компанией
Компания Cisco выпустила обновления программного обеспечения для устранения нескольких критических уязвимостей, влияющих на программное обеспечение HyperFlex HX и SD-WAN vManage, которые могут позволить злоумышленнику выполнять атаки путём внедрения команд, выполнять произвольный код и получать доступ к конфиденциальной информации.Критические недостатки найдены в ПО Cisco SD-WAN vManage и HyperFlex. Фото: Pixabay
В серии рекомендаций, опубликованных 5 мая, компания заявила, что не существует обходных путей для решения проблемы.
Уязвимости внедрения команд HyperFlex HX, получившие коды CVE-2021-1497 и CVE-2021-1498 (оценка CVSS 9,8), затрагивают все устройства Cisco, на которых работает программное обеспечение HyperFlex HX версий 4.0, 4.5 и до 4.0. Возникшие из-за недостаточной проверки вводимых пользователем данных в веб-интерфейсе управления платформой данных Cisco HyperFlex HX Data Platform, уязвимости могут позволить неаутентифицированному удалённому злоумышленнику выполнить атаку с внедрением команд против уязвимого устройства, сообщает компания.
Из сообщения Cisco: «Злоумышленник может воспользоваться этой уязвимостью, отправив искусственный запрос в веб-интерфейс управления. Успешный эксплойт может позволить злоумышленнику выполнять произвольные команды» либо как пользователь root, либо как пользователь tomcat8».
Cisco также устранила пять сбоев, влияющих на программное обеспечение SD-WAN vManage (CVE-2021-1275, CVE-2021-1468, CVE-2021-1505, CVE-2021-1506 и CVE-2021-1508), что могло позволить неавторизованноve удалённоve злоумышленнику захватить систему или получить доступ к конфиденциальной информации, или позволить аутентифицированному локальному злоумышленнику получить расширенные привилегии или получить несанкционированный доступ к приложению.
Хотя нет никаких доказательств злонамеренного использования уязвимостей, рекомендуется, чтобы пользователи обновились до последней версии, чтобы снизить риск, связанный с недостатками.
Комментариев пока не было