Cisco Unified Intelligence Center 弱點 (cisco-sa-cuic-infodisc-ssrf-84ZBmwVk)
medium Nessus Plugin ID 173300
語系:
概要
遠端裝置缺少廠商提供的安全性修補程式。說明
遠端主機上安裝的 Cisco Unified Intelligence Center 版本低於測試的版本。因此,此平台會受到 cisco-sa-cuic-infodisc-ssrf-84ZBmwVk 公告中所提及的多個弱點影響:- Cisco Unified Intelligence Center 的 Web 型管理介面中有一個弱點,經過驗證的遠端攻擊者可利用此弱點存取敏感資訊。之所以出現此弱點,是因為特定 REST API 輸出過於冗長。攻擊者可藉由將特製 HTTP 要求傳送至受影響的裝置,而惡意利用此弱點。成功利用此弱點可讓攻擊者取得敏感資料,其中包括與受影響裝置相關聯之服務的雜湊憑證。(CVE-2023-20061)
- Cisco Unified Intelligence Center 的 Web 型管理介面中有一個弱點,經過驗證的遠端攻擊者可利用此弱點繞過存取控制,並在受影響的系統上發起伺服器端要求偽造 (SSRF) 攻擊。這個弱點是因為不當驗證特定 HTTP 要求的輸入所致。攻擊者可藉由將特製 HTTP 要求傳送至受影響的系統,而惡意利用此弱點。若成功利用此弱點,攻擊者便可傳送來自受影響系統的任意網路請求。(CVE-2023-20062)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Cisco 缺陷 ID CSCwd01184、CSCwd02972 中提及的相關修正版本另請參閱
http://www.nessus.org/u?618a1f72
Plugin 詳細資訊
嚴重性: Medium
ID: 173300
檔案名稱: cisco-sa-cuic-infodisc-ssrf-84ZBmwVk.nasl
版本: 1.2
類型: local
系列: CISCO
已發布: 2023/3/23
已更新: 2024/2/2
組態: 啟用 Paranoid 模式
支援的感應器: Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5
媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:N/A:N
CVSS 評分資料來源: CVE-2023-20061
CVSS v3
風險因素: Medium
基本分數: 6.5
時間分數: 5.7
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:cisco:unified_intelligence_center
必要的 KB 項目: Settings/ParanoidReport, installed_sw/Cisco Unified Intelligence Center (CUIC)
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2023/3/1
弱點發布日期: 2023/3/1
參考資訊
CVE: CVE-2023-20061, CVE-2023-20062
CISCO-SA: cisco-sa-cuic-infodisc-ssrf-84ZBmwVk
CISCO-BUG-ID: CSCwd01184, CSCwd02972