人生就是博

首页 > 清静研究 > 清静转达 > 清静通告

Cisco | Security Manager多个清静误差通告

宣布时间 2020-11-17

0x00 误差概述

2020年11月16日，，Cisco宣布清静通告，，Security Manager中保存多个清静误差。。。。。误差追踪为CVE-2020-27125、CVE-2020-27130和CVE-2020-27131。。。。。

0x01 误差详情

Cisco Security Manager为Cisco清静治理器，，它可将战略设置使命和针对Cisco清静安排的控制步伐举行集中处置惩罚，，从而高效地治理企业清静。。。。。

本次宣布的误差详情如下：

产品	CVE ID	误差名称	评分	严重水平
Cisco Security Manager	CVE-2020-27125	Cisco Security Manager静态证书误差	7.4	高危
	CVE-2020-27130	Cisco Security Manager路径遍历误差	9.1	严重
	CVE-2020-27131	Cisco Security Manager Java反序列化误差	8.1	高危

影响规模：

Cisco Security Manager 4.21及之前版本。。。。。

Cisco Security Manager静态证书误差（CVE-2020-27125）

该误差是静态凭证没有提供足够的�；；；ぴ斐傻�，，攻击者可以通过审查源代码来使用此误差。。。。。乐成使用此误差的攻击者可以审查静态凭证等敏感信息，，并使用凭证举行攻击。。。。。

误差详情如下：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-rce-8gjUz9fW

Cisco Security Manager路径遍历误差（CVE-2020-27130）

该误差是装备对请求中的目录遍历字符序列的验证不准确造成的。。。。。攻击者可以通过向受影响的装备发送恶意请求来使用此误差。。。。。乐成使用此误差可能使攻击者在受影响的装备上下载恣意文件。。。。。

误差详情如下：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-path-trav-NgeRnqgR

Cisco Security Manager Java反序列化误差（CVE-2020-27131）

Cisco Security Manager使用的Java反序列化功效中保存多个清静误差。。。。。这些误差使得用户提供的内容被不清静地反序列化。。。。。攻击者可以通过将恶意的序列化Java工具发送给受影响的系统上的特定侦听器来使用这些误差。。。。。乐成使用此误差可能使攻击者在目的Windows主机上使用NT AUTHORITY\SYSTEM（内置系统治理账户）权限在装备上执行恣意下令。。。。。

误差详情如下：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-csm-java-rce-mWJEedcD?

0x02 处置惩罚建议

现在Cisco已在Cisco Security Manager 4.22中修复了CVE-2020-27125和CVE-2020-27130，，建议实时更新。。。。。

Cisco妄想在Cisco Security Manager 4.23中修复CVE-2020-27131及其它Java反序列化功效中的误差。。。。。

下载地点：

https://software.cisco.com/download/find

0x03 参考链接

https://tools.cisco.com/security/center/publicationListing.x

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27131

0x04 时间线

2020-11-16 Cisco宣布清静通告

2020-11-17 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 人生就是博版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】