cisco data_center_network_manager 对路径名的限制不恰当(路径遍历)

CVE编号

CVE-2019-1620

利用情况

暂无

补丁情况

N/A

披露时间

2019-06-27
漏洞描述
Cisco Data Center Network Manager (DCNM)是Cisco的一套数据中心网络管理器,可对网络进行多协议管理,并对交换机的运行状况和性能提供故障排除功能。

Cisco Data Center Network Manager (DCNM) 11.0(1)的基于Web的管理界面存在任意文件上传漏洞。远程未认证攻击者可通过上传特制数据利用该漏洞在文件系统上写入任意文件,从而能以root权限执行代码。
解决建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvo64647
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 cisco data_center_network_manager 11.0(1) -
运行在以下环境
系统 amazon_2 ruby * Up to
(excluding)
12.3.3-125.amzn2.0.2
运行在以下环境
系统 amazon_AMI ruby24 * Up to
(excluding)
2.4.10-2.12.amzn1
运行在以下环境
系统 opensuse_Leap_15.1 ruby2.5 * Up to
(excluding)
2.5.7-lp151.4.6.1
运行在以下环境
系统 suse_12_SP4 ruby2.1 * Up to
(excluding)
2.1.9-19.3.2
运行在以下环境
系统 suse_12_SP5 ruby2.1 * Up to
(excluding)
2.1.9-19.3.2
CVSS3评分
9.8
  • 攻击路径
    网络
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CWE-ID 漏洞类型
CWE-22 对路径名的限制不恰当(路径遍历)
阿里云安全产品覆盖情况