【安全通告】Cisco Elastic Services Controller REST API认证绕过漏洞(CVE-2019-1867)

作者:   广州非凡信息安全技术有限公司(总部广州) 2019/05/16 16:40:22 100次阅读 国际

80809c8f03dfcbc7a7ca8fb60e6f060f.png

    Cisco发布公告修复了Cisco Elastic Services Controller (ESC)中的一个REST API认证绕过漏洞(CVE-2019-1867)。该漏洞是由对API请求的不正确验证造成的。攻击者可以通过向REST API发送一个精心设计的请求来利用该漏洞。成功的攻击允许未经身份验证的远程攻击者以管理员身份通过REST API在受影响的系统上执行任意操作。
    CVSS 3.0评分:
    Base 10.0 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:X/RL:X/RC:X

受影响的版本

    Cisco Elastic Services Controller Release 4.1、4.2、4.3、4.4,且启用了REST API。
    默认情况下REST API 是禁用的。

不受影响的版本

    Cisco Elastic Services Controller Release < 4.1
    Cisco Elastic Services Controller Release 4.5

解决方案

    Cisco官方已经发布Cisco Elastic Services Controller 4.5版本修复了上述漏洞,请受影响的用户尽快升级进行防护。
    具体操作方式请参考官方通告:
    https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190507-esc-authbypass

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室