阿里云漏洞库

漏洞描述

Cisco IOS XE软件的授权子系统中的漏洞可能允许经过身份验证但无特权（1级）的远程攻击者通过使用Web UI运行特权Cisco IOS命令。该漏洞是由于对Web UI用户的用户权限的不正确验证造成的。攻击者可以通过向Web UI中的特定端点提交恶意负载来利用此漏洞。成功利用可以允许较低权限的攻击者在受影响的设备上执行具有更高权限的任意命令。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190327-iosxe-privesc

参考链接
http://www.securityfocus.com/bid/107590
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-s...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	emacs	*		Up to (excluding) 24.3-23.1.al7
	运行在以下环境
	系统	alibaba_cloud_linux_3	libtiff	*		Up to (excluding) 4.0.9-17.1.al8
	运行在以下环境
	系统	amazon_2	libtiff	*		Up to (excluding) 4.0.3-35.amzn2
	运行在以下环境
	系统	amazon_AMI	libtiff	*		Up to (excluding) 4.0.3-35.36.amzn1
	运行在以下环境
	系统	centos_7	emacs	*		Up to (excluding) 0.92.2-3.el7
	运行在以下环境
	系统	cisco	ios_xe	16.7.1	-
	运行在以下环境
	系统	cisco	ios_xe	16.7.1a	-
	运行在以下环境
	系统	cisco	ios_xe	16.7.1b	-
	运行在以下环境
	系统	cisco	ios_xe	16.8.1	-
	运行在以下环境
	系统	cisco	ios_xe	16.8.1a	-
	运行在以下环境
	系统	cisco	ios_xe	16.8.1b	-
	运行在以下环境
	系统	cisco	ios_xe	16.8.1c	-
	运行在以下环境
	系统	cisco	ios_xe	16.8.1d	-
	运行在以下环境
	系统	cisco	ios_xe	16.8.1e	-
	运行在以下环境
	系统	cisco	ios_xe	16.8.1s	-
	运行在以下环境
	系统	cisco	ios_xe	16.8.2	-
	运行在以下环境
	系统	cisco	ios_xe	16.9.1b	-
	运行在以下环境
	系统	cisco	ios_xe	16.9.1c	-
	运行在以下环境
	系统	cisco	ios_xe	16.9.1d	-
	运行在以下环境
	系统	cisco	ios_xe	16.9.1s	-
	运行在以下环境
	系统	cisco	ios_xe	3.2.0ja	-
	运行在以下环境
	系统	opensuse_Leap_15.3	tiff	*		Up to (excluding) 4.0.9-45.5.1
	运行在以下环境
	系统	opensuse_Leap_15.4	tiff	*		Up to (excluding) 4.0.9-45.5.1
	运行在以下环境
	系统	oracle_7	emacs	*		Up to (excluding) 6.9.10.68-3.el7
	运行在以下环境
	系统	redhat_7	emacs	*		Up to (excluding) 0.92.2-3.el7
	运行在以下环境
	系统	suse_12_SP5	tiff	*		Up to (excluding) 4.0.9-44.45.1

攻击路径

网络
攻击复杂度

低
权限要求

低
影响范围

未更改
用户交互

无
可用性

高
保密性

高
完整性

高

CWE-ID	漏洞类型
CWE-269	特权管理不恰当

Cisco IOS XE 输入验证错误漏洞

漏洞描述

解决建议

参考链接

受影响软件情况