Cisco SD-WAN vManage Software XML外部实体注入漏洞

Cisco SD-WAN vManage Software XML外部实体注入漏洞

 Cisco SD-WAN vManage Software是美国思科（Cisco）公司的一款用于SD-WAN（软件定义广域网络）解决方案的管理软件。

一、漏洞分析

公开日期：2020-07-21

漏洞编号：CNVD-2020-41237/CVE-2020-3405

危害等级：高危

漏洞描述：Cisco SD-WAN vManage Software 19.2.2及之前版本中的Web UI存在XML外部实体注入漏洞，该漏洞源于程序未能正确解析XML外部实体条目，远程攻击者可借助特制XML文件利用该漏洞在受影响的应用程序中读写文件。

二、漏洞影响范围

Cisco SD-WAN vManage Software <= 19.2.2

三、漏洞处置建议

Cisco SD-WAN vManage Software 19.2.2及之前版本中的Web UI存在XML外部实体注入漏洞，该漏洞源于程序未能正确解析XML外部实体条目，远程攻击者可借助特制XML文件利用该漏洞在受影响的应用程序中读写文件。