云安全日报220609：思科云应用策略基础设施控制器发现特权升级漏洞，需要尽快升级

6月7日,思科公司发布了安全更新，修复了思科应用策略基础设施控制器 (APIC) 和思科云应用策略基础设施控制器 (Cloud APIC)中发现的特权升级漏洞。以下是漏洞详情：4Pn28资讯网——每日最新资讯28at.com

漏洞详情4Pn28资讯网——每日最新资讯28at.com

来源：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-capic-chvul-CKfGYBh84Pn28资讯网——每日最新资讯28at.com

CVE-2021-1579 CVSS评分：8.1 高4Pn28资讯网——每日最新资讯28at.com

思科应用策略基础设施控制器 (APIC) 和思科云应用策略基础设施控制器 (Cloud APIC) 的 API 端点中的漏洞可能允许具有管理员 只读凭据的经过身份验证的远程攻击者提升受影响系统的权限。4Pn28资讯网——每日最新资讯28at.com

此漏洞是由于基于角色的访问控制 (RBAC) 不足造成的。具有管理员 只读凭据的攻击者可以通过使用具有管理员写入凭据的应用发送特定API请求来利用此漏洞。成功的利用可能允许攻击者在受影响的设备上将权限提升为具有写入权限的管理员。4Pn28资讯网——每日最新资讯28at.com

受影响产品4Pn28资讯网——每日最新资讯28at.com

对于Cisco APIC 和 Cisco Cloud APIC 5.2之前版本，如果设备已安装并启用了具有管理员写入权限的应用，此漏洞会影响这些设备。4Pn28资讯网——每日最新资讯28at.com

要确定设备是否具有启用管理员写入功能的应用程序，请执行以下操作：4Pn28资讯网——每日最新资讯28at.com

1.打开 Web UI 并单击应用程序选项卡。4Pn28资讯网——每日最新资讯28at.com

2.将鼠标指针悬停在已安装并启用的应用程序上（显示打开）。右上角会出现四个图标。4Pn28资讯网——每日最新资讯28at.com

3.单击最左侧的图标以查看应用程序的权限和权限级别。如果显示Permissions:admin和Permission Level:write，则表明设备受到该漏洞的影响。4Pn28资讯网——每日最新资讯28at.com

解决方案4Pn28资讯网——每日最新资讯28at.com

Cisco APIC 或 Cisco Cloud APIC 3.2以及之前版本升级至3.2(10f)版本可修复4Pn28资讯网——每日最新资讯28at.com

Cisco APIC 或 Cisco Cloud APIC 3.2 ~ 4.2之间版本升级至4.2(7l)版本可修复4Pn28资讯网——每日最新资讯28at.com

Cisco APIC 或 Cisco Cloud APIC 4.2 ~ 5.2之间版本升级至5.2(2f)版本可修复4Pn28资讯网——每日最新资讯28at.com

查看更多漏洞信息 以及升级请访问官网：4Pn28资讯网——每日最新资讯28at.com

https://tools.cisco.com/security/center/publicationListing.x4Pn28资讯网——每日最新资讯28at.com

本文链接：http://www.28at.com/showinfo-119-2367-0.html云安全日报220609：思科云应用策略基础设施控制器发现特权升级漏洞，需要尽快升级

声明：本网页内容旨在传播知识，若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。邮件：2376512515@qq.com

上一篇： 云计算核心技术Docker教程：使用 Compose 文件部署注册服务器

下一篇： 阿里云发布云数据中心专用处理器CIPU 替代CPU成为新管控加速中心