检测
分析
思科统一情报中心漏洞(思科- sa - cuic infodisc ssrf - 84 zbmwvk)
媒介Nessus插件ID 173300
语言:
剧情简介
远程设备丢失了一个供应商提供的安全补丁。描述
思科统一情报中心的版本安装在远程主机之前测试版本。因此,受到中引用多个漏洞思科- sa - cuic infodisc ssrf - 84 zbmwvk咨询:——一个漏洞在思科统一情报中心的网络管理接口可能允许经过身份验证的,远程攻击者访问敏感信息。这个漏洞是由于过度冗长在一个特定的REST API输出。攻击者可以利用此漏洞通过发送一个HTTP请求到一个受影响的设备。成功的利用可以让攻击者获得敏感数据,包括散列的凭证服务相关受影响的设备。(cve - 2023 - 20061)
——一个漏洞在思科统一情报中心的网络管理接口可能允许经过身份验证的,远程攻击者绕过访问控制,进行服务器端请求伪造(SSRF)攻击一个受影响的系统。这个漏洞是由于不当输入验证特定的HTTP请求。攻击者可以利用此漏洞通过发送的HTTP请求一个受影响的系统。成功的利用可以让攻击者发送任意的网络请求来自受影响的系统。(cve - 2023 - 20062)
注意Nessus没有检测这些问题但却只依赖于应用程序的自我报告的版本号。
解决方案
升级到相关的固定版本中引用思科错误id CSCwd01184 CSCwd02972另请参阅
http://www.nessus.org/u?618a1f72
插件的细节
严重程度:媒介
ID:173300年
文件名称:思科- sa - cuic infodisc ssrf - 84 zbmwvk.nasl
版本:1.0
类型:当地的
家庭:思科
发表:3/23/2023
更新:3/23/2023
配置:启用偏执的模式
风险信息
冲程体积
风险因素:低
分数:3.6
CVSS v2
风险因素:媒介
基础分数:6.8
时间分数:5
向量:CVSS2 # AV: N /交流:L /非盟:S / C: C / I: N: N
CVSS分数来源:cve - 2023 - 20061
CVSS v3
风险因素:媒介
基础分数:6.5
时间分数:5.7
向量:CVSS: 3.0 / AV: N /交流:L /公关:L / UI: N / S: U / C: H /我:N: N
时间向量:CVSS: 3.0 / E: U / RL: O / RC: C
漏洞信息
CPE:cpe /:思科:unified_intelligence_center
需要KB物品:installed_sw /思科统一情报中心(CUIC),设置/ ParanoidReport
利用缓解:没有任何已知的利用是可用的
补丁发布日期:3/1/2023
脆弱性出版日期:3/1/2023
参考信息
CVE:cve - 2023 - 20061,cve - 2023 - 20062
CISCO-SA:思科- sa - cuic infodisc ssrf - 84 zbmwvk
CISCO-BUG-ID:CSCwd01184,CSCwd02972