به‌روزرسانی سیسکو
شناسایی آسیب‌پذیری بحرانی در Elastic Services Controller
کد مطلب: 15332
تاریخ انتشار : چهارشنبه ۱۸ ارديبهشت ۱۳۹۸ ساعت ۱۲:۵۷
 
یک آسیب‌پذیری بحرانی در Elastic Services Controller سیسکو شناسایی و برطرف شده‌است.
شناسایی آسیب‌پذیری بحرانی در Elastic Services Controller
 
 
Share/Save/Bookmark
یک آسیب‌پذیری بحرانی در Elastic Services Controller سیسکو شناسایی و برطرف شده‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، سیسکو یک به‌روزرسانی امنیتی برای رفع یک آسیب‌پذیری بحرانی در محصول (Elastic Services Controller (ESC خود منتشر کرده‌است. یک مهاجم احرازهویت نشده با دسترسی راه دور می‌تواند از این آسیب‌پذیری سوء‌استفاده کند و فرایند احراز هویت روی REST API را دور بزند.

محصول ESC سیسکو به منظور مدیریت سرویس‌های شبکه طراحی شده‌است. آسیب‌پذیری بحرانی کشف‌شده در صورتی که REST API فعال باشد، این محصول را تحت‌تاثیر قرار می‌دهد. قابلیت REST API به‌طور پیش‌فرض در ESC غیرفعال است.

آسیب‌پذیری امنیتی با شناسه CVE-۲۰۱۹-۱۸۶۷ ردیابی می‌شود و به‌دلیل اعتبارسنجی نامناسب درخواست‌های API به‌وجود آمده‌است. یک عامل مخرب می‌تواند با ارسال بسته‌های دست‌کاری شده به REST API از این نقص بهره‌برداری کند. پس از دور زدن فرایند احراز هویت روی REST API، مهاجم می‌تواند با دسترسی سطح مدیر، اقدامات دلخواه را انجام دهد. نمره CVSS این آسیب‌پذیری ۱۰ محاسبه شده که به دلیل امکان بهره‌برداری روی شبکه و عدم نیاز به دسترسی خاص مهاجم یا تعامل قربانی است.

تمامی نسخه‌های اصلی ESC شامل ۴,۱، ۴.۲، ۴.۳ یا ۴.۴ نسبت به این نقص آسیب‌پذیر هستند. به منظور رفع این باگ، وصله‌های امنیتی برای هریک از نسخه‌ها منتشر شده‌است.
مرجع : خبرگزاری ايسنا