Cisco Enterprise NFV Infrastructure Software(NFVIS)是思科(Cisco)公司的一套NFV基础架构软件平台。该平台可以通过中央协调器和控制器实现虚拟化服务的全生命周期管理。
9月1日,思科发布了安全公告,思科企业NFV基础架构软件平台发现身份验证绕过漏洞,建议尽快升级。以下是漏洞详情:
漏洞详情
来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nfvis-g2DMVVh
CVE-2021-34746 CVSS评分:9.8 高
思科企业 NFV 基础设施软件 (NFVIS) 的 TACACS+ 身份验证、授权和计费 (AAA) 功能中存在一个漏洞,该漏洞可能允许未经身份验证的远程攻击者绕过身份验证并以管理员身份登录受影响的设备。
此漏洞是由于对传递给身份验证脚本的用户提供的输入的验证不完整。攻击者可以通过向身份验证请求中注入参数来利用此漏洞。成功的利用可能允许攻击者绕过身份验证并以管理员身份登录受影响的设备。
受影响产品
如果配置了 TACACS 外部身份验证方法,此漏洞会影响 Cisco Enterprise NFVIS Release 4.5.1。
解决方案
思科在 Cisco Enterprise NFVIS 版本 4.6.1 及更高版本中修复了此漏洞。
查看更多漏洞信息 以及升级请访问官网:
https://tools.cisco.com/security/center/publicationListing.x