Cisco IOS XE Software授权问题漏洞
Cisco IOS和IOS XE都是美国思科(Cisco)公司的一套为其网络设备开发的操作系统。
一、漏洞分析
公开日期:2019-08-30
漏洞编号:CNVD-2019-29411/CVE-2019-12643
危害等级:高危
漏洞描述:Cisco IOS XE Software中的Cisco REST API虚拟服务容器存在授权问题漏洞,该漏洞源于管理REST API身份验证服务的代码区域未能执行正确的检查,远程攻击可通过提交恶意的HTTP请求利用该漏洞获取已认证用户的token-id,绕过身份验证并执行特权操作。
二、漏洞影响范围
Cisco 4000 Series Integrated Services Routers
Cisco ASR 1000 Series Aggregation Services Routers
Cisco Cloud Services Router 1000V Series
Cisco Integrated Services Virtual Router
三、漏洞处置建议
厂商已发布了漏洞修复程序,请及时关注更新:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190828-iosxe-rest-auth-bypass
