Cisco Nexus 9000 系列 APIC 访问控制漏洞 (CSCut12998)

high Nessus 插件 ID 88717

简介

远程设备缺少供应商提供的安全修补程序。

描述

远程 Cisco Nexus 9000 系列设备受 Cisco Application Policy Infrastructure Controller (APIC) 中访问控制漏洞的影响,这是因为基于角色的访问控制 (RBAC) 代码的适用性逻辑中的缺陷所导致。经认证的远程攻击者可利用此问题,通过 APIC 特别构建的具象状态传输 (REST) 请求,以所允许的访问权限以外的权限进行配置变更。

解决方案

升级到 Cisco 缺陷 ID CSCut12998 中提及的相关修正版本。

另见

http://www.nessus.org/u?73afdd7b

https://tools.cisco.com/bugsearch/bug/CSCut12998

插件详情

严重性: High

ID: 88717

文件名: cisco-sa-20160203-apic.nasl

版本: 1.8

类型: combined

系列: CISCO

发布时间: 2016/2/12

最近更新时间: 2019/11/20

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 9

时间分数: 6.7

矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS 分数来源: CVE-2016-1302

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.7

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/o:cisco:nx-os, cpe:/h:cisco:nexus_9000

必需的 KB 项: Host/Cisco/NX-OS/Version, Host/Cisco/NX-OS/Model, Host/Cisco/NX-OS/Device

易利用性: No known exploits are available

补丁发布日期: 2016/2/3

漏洞发布日期: 2016/2/3

参考资料信息

CVE: CVE-2016-1302

BID: 82549

CISCO-SA: cisco-sa-20160203-apic

CISCO-BUG-ID: CSCut12998