Cisco FXOS 输入验证不足漏洞

CVE编号

CVE-2020-3457

利用情况

暂无

补丁情况

N/A

披露时间

2020-10-22
漏洞描述
Cisco FXOS Software是美国思科(Cisco)公司的一套运行在思科安全设备中的防火墙软件。 Cisco FXOS 存在安全漏洞,该漏洞源于用户提供的命令的输入验证不足造成的。攻击者可利用该漏洞可以通过对设备进行身份验证并向受影响的命令提交精心设计的输入来利用此漏洞,底层操作系统上使用root特权执行命令。

解决建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fxos-cmdinj-pqZvmXCr


受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 cisco adaptive_security_appliance * From
(including)
9.10
Up to
(excluding)
9.10.1.40
运行在以下环境
应用 cisco adaptive_security_appliance * From
(including)
9.12
Up to
(excluding)
9.12.4.3
运行在以下环境
应用 cisco adaptive_security_appliance * From
(including)
9.13
Up to
(excluding)
9.13.1.13
运行在以下环境
应用 cisco adaptive_security_appliance * From
(including)
9.8
Up to
(excluding)
9.8.4.29
运行在以下环境
应用 cisco adaptive_security_appliance * From
(including)
9.9
Up to
(excluding)
9.9.2.80
运行在以下环境
系统 cisco firepower_extensible_operating_system * From
(including)
2.4
Up to
(excluding)
2.4.1.266
运行在以下环境
系统 cisco firepower_extensible_operating_system * From
(including)
2.6
Up to
(excluding)
2.6.1.204
运行在以下环境
系统 cisco firepower_extensible_operating_system * From
(including)
2.7
Up to
(excluding)
2.7.1.131
运行在以下环境
系统 cisco firepower_extensible_operating_system * From
(including)
2.8
Up to
(excluding)
2.8.1.125
运行在以下环境
系统 cisco firepower_threat_defense * From
(including)
6.2.2
Up to
(excluding)
6.3.0.6
运行在以下环境
系统 cisco firepower_threat_defense * From
(including)
6.4.0
Up to
(excluding)
6.4.0.9
运行在以下环境
系统 cisco firepower_threat_defense * From
(including)
6.5.0
Up to
(excluding)
6.5.0.5
运行在以下环境
硬件 cisco firepower_1000 - -
运行在以下环境
硬件 cisco firepower_1010 - -
运行在以下环境
硬件 cisco firepower_1120 - -
运行在以下环境
硬件 cisco firepower_1140 - -
运行在以下环境
硬件 cisco firepower_1150 - -
运行在以下环境
硬件 cisco firepower_2100 - -
运行在以下环境
硬件 cisco firepower_2110 - -
运行在以下环境
硬件 cisco firepower_2120 - -
运行在以下环境
硬件 cisco firepower_2130 - -
运行在以下环境
硬件 cisco firepower_2140 - -
运行在以下环境
硬件 cisco firepower_4110 - -
运行在以下环境
硬件 cisco firepower_4112 - -
运行在以下环境
硬件 cisco firepower_4115 - -
运行在以下环境
硬件 cisco firepower_4120 - -
运行在以下环境
硬件 cisco firepower_4125 - -
运行在以下环境
硬件 cisco firepower_4140 - -
运行在以下环境
硬件 cisco firepower_4145 - -
运行在以下环境
硬件 cisco firepower_4150 - -
运行在以下环境
硬件 cisco firepower_9300_sm-24 - -
运行在以下环境
硬件 cisco firepower_9300_sm-36 - -
运行在以下环境
硬件 cisco firepower_9300_sm-40 - -
运行在以下环境
硬件 cisco firepower_9300_sm-44 - -
运行在以下环境
硬件 cisco firepower_9300_sm-44_x_3 - -
运行在以下环境
硬件 cisco firepower_9300_sm-48 - -
运行在以下环境
硬件 cisco firepower_9300_sm-56 - -
运行在以下环境
硬件 cisco firepower_9300_sm-56_x_3 - -
CVSS3评分
6.7
  • 攻击路径
    本地
  • 攻击复杂度
  • 权限要求
  • 影响范围
    未更改
  • 用户交互
  • 可用性
  • 保密性
  • 完整性
CWE-ID 漏洞类型
CWE-78 OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
阿里云安全产品覆盖情况