Cisco HyperFlex HX命令注入漏洞风险通告

2021-05-07 10:11:12
Cisco HyperFlex HX基于Web的管理界面中存在多个安全漏洞,可能允许未经身份验证的远程攻击者对受影响的设备执行命令注入攻击。腾讯安全专家建议受影响的用户尽快升级Cisco HyperFlex HX到最新版本。

Cisco HyperFlex HX基于Web的管理界面中存在多个安全漏洞,可能允许未经身份验证的远程攻击者对受影响的设备执行命令注入攻击。

 

Cisco HyperFlex 是思科公司开发的超融合虚拟化平台,能够更加快速、高效、稳定的支撑起众多企业的虚拟化环境。


腾讯安全专家建议受影响的用户尽快升级Cisco HyperFlex HX到最新版本。

 

漏洞编号:

CVE-2021-1497

CVE-2021-1498

 

漏洞等级:严重CVSS评分9.8

 

漏洞详情:

CVE-2021-1497:Cisco HyperFlex HX安装程序虚拟机命令注入漏洞

 

Cisco HyperFlex HX Installer虚拟机基于Web的管理界面中的漏洞可能允许未经身份验证的远程攻击者对受影响的设备执行命令注入攻击。

 

此漏洞是由于对用户提供的输入验证不足而引起。攻击者可以通过向基于Web的管理界面发送精心设计的请求来利用此漏洞。成功利用此漏洞可能允许攻击者以root 用户身份在受影响的设备上执行任意命令。

 

CVE-2021-1498:Cisco HyperFlex HX数据平台命令注入漏洞

 

Cisco HyperFlex HX数据平台基于Web的管理界面中的漏洞可能允许未经身份验证的远程攻击者对受影响的设备执行命令注入攻击。

 

此漏洞是由于对用户提供的输入验证不足而引起。攻击者可以通过向基于Web的管理界面发送精心设计的请求来利用此漏洞。成功利用该漏洞可能使攻击者以tomcat8 用户的身份在受影响的设备上执行任意命令。

 

受影响的产品:

如果正在运行易受攻击的Cisco HyperFlex HX软件版本,则这些漏洞会影响Cisco设备。

 

思科HyperFlex HX 低于 4.0的版本

思科HyperFlex HX 4.0

思科HyperFlex HX 4.5

 

漏洞修复:

思科已经发布免费软件更新,以解决此通报中描述的漏洞。

4.0以下版本,建议升级思科HyperFlex HX 4.02e

4.5版本建议升级思科HyperFlex HX到4.51b)

 

参考链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-hyperflex-rce-TjjNrkpR

扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。

最新资讯