چاپ        ارسال به دوست

‫ آسیب‌پذیری COMMAND INJECTION در نرم‌افزار IOS XE SD-WAN سیسکو

یک ‫آسیب‌پذیری در رابط خط فرمان یا (CLI (Command Line Interface نرم‌افزار IOS XE SD-WAN سیسکو کشف شده است که می‌تواند به یک مهاجم احراز هویت شده محلی اجازه دهد تا دستورات دلخواه خود را تزریق کرده و با سطح دسترسی root آنها را اجرا نماید.

این آسیب‌پذیری با شناسه "CVE-۲۰۱۹-۱۶۰۱۱" و شدت بالا، ناشی از اعتبارسنجی ناکافی در ورودی است و مهاجم قادر است با تایید هویت در دستگاه و ارسال ورودی ساختگی و دستکاری شده به ابزار CLI، از آن سوء استفاده کند. برای دسترسی به این ابزار، مهاجم حتما باید احراز هویت شود و در نهایت پس از یک اکسپلویت موفق، می‌تواند دستورات دلخواه خود را با سطح دسترسی root اجرا کند.

محصولات زیر در صورت اجرای یک نسخه آسیب‌پذیر از نرم‌افزار IOS XE SD-WAN، تحت تاثیر این آسیب‌پذیری قرار می‌گیرند:

• ۱۰۰۰ Series Aggregation Services Routers

• ۱۰۰۰ (Series Integrated Services Routers (ISRs

• ۴۰۰۰ Series ISRs

• Cloud Services Router ۱۰۰۰V Series

سیسکو تایید کرده است که آسیب‌پذیری مذکور، روی محصولات زیر تاثیر نخواهد داشت:

• IOS Software

• IOS XE Software

• vBond, vEdge, vManage, and vSmart software

دانلود پیوست

منبع: https://cert.ir/news/13028


دسته‌ها: آسیب‌پذیری‌ها


١٤:٠٠ - سه شنبه ٢٣ ارديبهشت ١٣٩٩    /    شماره : ٢٥٥٧٢    /    تعداد نمایش : ٦٣



خروج