必火网络安全培训 > 安全漏洞 > 正文

Cisco NX-OS Software CLI任意命令执行漏洞(CVE-2018-0306)

Cisco NX-OS Software CLI任意命令执行漏洞(CVE-2018-0306)


发布日期:2020-08-26
更新日期:2020-09-10

受影响系统:Cisco Nexus 7000 Series Switches
Cisco Nexus 3000 Series Switches
Cisco Nexus 3500 Platform Switches
Cisco Nexus 5500 Platform Switches
Cisco MDS 9000 Series Multilayer Switches
Cisco Nexus 9000 Series Switches in standalone NX-OS mod
Cisco Nexus 1000V Series Switches
Cisco Nexus 1100 Series Cloud Services Platforms
Cisco Nexus 2000 Series Fabric Extenders
Cisco Nexus 3600 Platform Switches
Cisco Nexus 5600 Platform Switches
Cisco Nexus 6000 Series Switches
Cisco Nexus 7700 Series Switches
Cisco Nexus 9500 R-Series Line Cards and Fabric Modules描述:CVE(CAN) ID: CVE-2018-0306

Nexus 2000 Series Fabric Extenders是一款Nexus 2000系列交换阵列扩展器。Cisco NX-OS Software是运行在其中的一套交换机使用的数据中心级操作系统软件。CLI parser是其中的一个命令行命令解析器。
Cisco NX-OS Software中的CLI解析器存在任意命令执行漏洞。该漏洞源于未对命令参数进行正确的输入验证。经过身份认证的本地攻击者可通过将恶意命令参数注入存在漏洞的CLI命令中利用该漏洞对受影响的设备执行命令注入攻击并以root特权执行任意命令。

<*来源:Cisco
  
  链接:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-nx-os-cli-ex
*>

建议:厂商补丁:

Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20180620-nx-os-cli-execution)以及相应补丁:
cisco-sa-20180620-nx-os-cli-execution:Cisco NX-OS Software CLI Arbitrary Command Execution Vulnerability
链接:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180620-nx-os-cli-ex

本文为原创,版权归 必火网络安全培训所有。禁止转载,后果自负。