یک آسیبپذیری بحرانی در Elastic Services Controller سیسکو شناسایی و برطرف شدهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، سیسکو یک بهروزرسانی امنیتی برای رفع یک آسیبپذیری بحرانی در محصول (Elastic Services Controller (ESC خود منتشر کردهاست. یک مهاجم احرازهویت نشده با دسترسی راه دور میتواند از این آسیبپذیری سوءاستفاده کند و فرایند احراز هویت روی REST API را دور بزند.
محصول ESC سیسکو به منظور مدیریت سرویسهای شبکه طراحی شدهاست. آسیبپذیری بحرانی کشفشده در صورتی که REST API فعال باشد، این محصول را تحتتاثیر قرار میدهد. قابلیت REST API بهطور پیشفرض در ESC غیرفعال است.
آسیبپذیری امنیتی با شناسه CVE-۲۰۱۹-۱۸۶۷ ردیابی میشود و بهدلیل اعتبارسنجی نامناسب درخواستهای API بهوجود آمدهاست. یک عامل مخرب میتواند با ارسال بستههای دستکاری شده به REST API از این نقص بهرهبرداری کند. پس از دور زدن فرایند احراز هویت روی REST API، مهاجم میتواند با دسترسی سطح مدیر، اقدامات دلخواه را انجام دهد. نمره CVSS این آسیبپذیری ۱۰ محاسبه شده که به دلیل امکان بهرهبرداری روی شبکه و عدم نیاز به دسترسی خاص مهاجم یا تعامل قربانی است.
تمامی نسخههای اصلی ESC شامل ۴,۱، ۴.۲، ۴.۳ یا ۴.۴ نسبت به این نقص آسیبپذیر هستند. به منظور رفع این باگ، وصلههای امنیتی برای هریک از نسخهها منتشر شدهاست.