阿里云漏洞库

漏洞描述

Cisco NX-OS软件的NX-API特性中的一个漏洞可能允许经过身份验证的远程攻击者使用根特权执行任意命令。此漏洞是由于NX-API子系统对用户提供的数据进行了不正确的输入验证。攻击者可以通过向启用了NX-API特性的受影响系统的管理接口发送恶意HTTP或HTTPS数据包来利用此漏洞。成功的攻击可以允许攻击者执行命令注入攻击，并使用根特权执行任意命令。注意:NX-API在默认情况下是禁用的。MDS 9000系列多层交换机在运行8.1(1b)和8.2(3)之前的软件版本时受到影响。Nexus 3000系列开关在运行于7.0(3)I4(9)和7.0(3)I7(4)之前的软件版本时受到影响。Nexus 3500平台交换机在运行7.0(3)I7(4)之前的软件版本时受到影响。Nexus 2000、5500、5600和6000系列交换机在运行于7.3(4)N1(1)之前的软件版本时受到影响。独立的NX-OS模式下的Nexus 9000系列交换机在运行7.0(3)I4(9)和7.0(3)I7(4)之前的软件版本时受到影响。Nexus 7000和7700系列交换机在运行软件版本7.3(3)D1(1)和8.2(3)之前受到影响。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://www.securityfocus.com/bid/107339
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-s...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	cisco	nx-os	*		Up to (excluding) 7.0\(3\)i4\(9\)
	运行在以下环境
	系统	cisco	nx-os	*		Up to (excluding) 7.3\(3\)i4\(9\)
	运行在以下环境
	系统	cisco	nx-os	*	From (including) 7.0\(3\)	Up to (excluding) 7.0\(3\)i7\(4\)
	运行在以下环境
	系统	cisco	nx-os	*	From (including) 7.0\(3\)i5	Up to (excluding) 7.0\(3\)i7\(4\)
	运行在以下环境
	系统	cisco	nx-os	*	From (including) 7.2	Up to (excluding) 7.3\(3\)d1\(1\)
	运行在以下环境
	系统	cisco	nx-os	*	From (including) 7.3	Up to (excluding) 7.3\(4\)n1\(1\)
	运行在以下环境
	系统	cisco	nx-os	*	From (including) 7.3	Up to (excluding) 8.1\(1b\)
	运行在以下环境
	系统	cisco	nx-os	*	From (including) 8.0	Up to (excluding) 8.2\(3\)
	运行在以下环境
	系统	cisco	nx-os	*	From (including) 8.2	Up to (excluding) 8.3\(2\)
	运行在以下环境
	系统	cisco	nx-os	*	From (including) 8.3	Up to (excluding) 8.3\(2\)
	运行在以下环境
	硬件	cisco	mds_9000	-	-
	运行在以下环境
	硬件	cisco	nexus_2000	-	-
	运行在以下环境
	硬件	cisco	nexus_3000	-	-
	运行在以下环境
	硬件	cisco	nexus_3500	-	-
	运行在以下环境
	硬件	cisco	nexus_5500	-	-
	运行在以下环境
	硬件	cisco	nexus_5600	-	-
	运行在以下环境
	硬件	cisco	nexus_6000	-	-
	运行在以下环境
	硬件	cisco	nexus_7000	-	-
	运行在以下环境
	硬件	cisco	nexus_7700	-	-
	运行在以下环境
	硬件	cisco	nexus_9000	-	-

攻击路径

网络
攻击复杂度

低
权限要求

低
影响范围

未更改
用户交互

无
可用性

高
保密性

高
完整性

高

CWE-ID	漏洞类型
CWE-78	OS命令中使用的特殊元素转义处理不恰当（OS命令注入）

Cisco NX-OS Software NX-API命令注入漏洞

漏洞描述

解决建议

参考链接

受影响软件情况