据外媒报道,思科于本周三发布了 16 项安全警告,其中包括 3 个 CVSSv3 严重程度评分为满分 10 分的高危漏洞,根据思科介绍,这 3 个漏洞分别是思科全数字化 *** 架构中心(Cisco DNA Center)的一个后门帐户和两个认证系统的 bypass。
Cisco DNA Center 是一款针对企业客户的软件,它提供了一个中央系统,用于在大型 *** 中设计和部署设备配置。
以下为三个高危漏洞的的具体细节:
CVE-2018-0222
此漏洞是由于受影响软件的默认管理帐户存在未记录的静态用户凭据,攻击者可以通过使用该帐户登录受影响的系统来利用此漏洞。目前来说,一次成功的攻击可能允许攻击者登录到受影响的系统并使用 root 权限执行任意命令。
此漏洞影响 Cisco DNA Center 软件 1.1.3 之前的版本。
CVE-2018-0268
该漏洞是 Cisco DNA Center 的容器管理子系统中的漏洞,可能允许未经身份验证的远程攻击者绕过身份验证并获得提升的权限。
该漏洞是由于 Cisco DNA Center 中 Kubernetes 容器管理子系统的默认配置不安全造成的,有权访问 Kubernetes 服务端口的攻击者可以在提供的容器中使用提升的特权执行命令。成功利用该漏洞可能会导致受影响的容器完全泄露。
此漏洞影响 Cisco DNA Center 软件 1.1.3 及更早版本。
CVE-2018-0271
该漏洞是 Cisco DNA Center 的 API 网关中的漏洞,可能允许未经身份验证的远程攻击者绕过身份验证并访问关键服务。
该漏洞是由于在服务请求之前无法正常化 URL。攻击者可以通过精心设计的 URL 来利用此漏洞。一次成功的攻击可能会使攻击者获得对关键服务的未经授权的访问,从而导致提升 DNA Center 特权。
此漏洞影响 Cisco DNA Center 软件 1.1.2 之前的版本。
详情请参考思科安全公告:
<CVE-2018-0222>
<CVE-2018-0268>
<CVE-2018-0271>
消息来源:Bleeping Computer,编译:榆榆,审核:吴烦恼;
本文由 HackerNews.cc 编译整理,封面来源于 *** ;
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
尽管未能赢得 AV-TEST 的最高防病毒(AV-Comparatives)等级评价,但 Microsoft Defender 仍是市面上最合适的产品之一。尴尬的是,在 Windows 11 Build 22581 编译版本中,许多人发现遇到了媒体播放问题。由 Reddit 网友的讨论可知,问题与系...
近日,据Reddit上的帖子和Cyber Kendra上的一份报告显示,LAPSUS$ (Lapsus) 组织入侵了微软的DevOps帐户,该组织此前入侵了NVIDIA和三星。 下面的截图由Lapsus发布,但很快被删除,由Cyber Kendra保存了下来。该组织声称可以访问微软的一些DevOps...
一家欧洲隐私监督机构已经制裁了有争议的面部识别公司Clearview AI,该公司从互联网上搜刮自拍,积累了约100亿张脸的数据库,为其出售给执法部门的身份匹配服务。意大利的数据保护机构今天宣布对Clearview AI违反欧盟法律的行为处以2000万欧元罚款。 同时命令这家有争议的公司删除其...
Krebs On Security 周二警告称:黑客正越来越多地利用受感染的政府和警察部门的电子邮件账户,以从移动运营商、互联网服务提供商(ISP)和社交媒体公司榨取敏感的客户信息。周四,美国参议院内精通技术的议员之一表示,其对这份报告感到很是不安,并且已向科技企业和联邦机构发去询问,以了解此类活动...
Hackernews 编译,转载请注明出处: 从2021年6月,一个可能来自巴基斯坦的攻击者与一个针对感兴趣目标的后门攻击有关,该攻击使用了一种基于 windows 的远程访问木马,名为 CrimsonRAT。 Cisco Talos公司的研究人员在与The Hacker New...
文件压缩软件 7-Zip 被爆零日安全漏洞,允许攻击者提权并执行任意代码。目前开发团队并未发布补丁,但普通用户可以通过简单操作来让这个漏洞失效。上周,研究人员 Kağan Çapar 发现并公布了 7-Zip 的一个零日漏洞,该漏洞可以授予权限升级和命令执行。 它被命名为 CVE-2022-290...