cisco vsmart_controller_firmware 对外部实体的文件或目录可访问

CVE编号

CVE-2021-1512

利用情况

暂无

补丁情况

N/A

披露时间

2021-05-06

漏洞描述

Cisco SD-WAN vManage是美国思科（Cisco）公司的一款可提供软件定义网络功能的软件。该软件为网络虚拟化的一种方式。 Cisco SD-WAN Software存在安全漏洞，本地攻击者可利用该漏洞覆盖受影响系统的底层文件系统中的任意文件。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwan-arbfile-7Qhd9mCn

参考链接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-s...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	cisco	vedge-100b_firmware	-	-
	运行在以下环境
	系统	cisco	vedge-cloud_firmware	-	-
	运行在以下环境
	系统	cisco	vedge_1000_firmware	-	-
	运行在以下环境
	系统	cisco	vedge_100b_firmware	-	-
	运行在以下环境
	系统	cisco	vedge_100m_firmware	-	-
	运行在以下环境
	系统	cisco	vedge_100wm_firmware	-	-
	运行在以下环境
	系统	cisco	vedge_100_firmware	-	-
	运行在以下环境
	系统	cisco	vedge_2000_firmware	-	-
	运行在以下环境
	系统	cisco	vedge_5000_firmware	-	-
	运行在以下环境
	系统	cisco	vsmart_controller_firmware	-	-
	运行在以下环境
	硬件	cisco	vedge-100b	-	-
	运行在以下环境
	硬件	cisco	vedge-cloud	-	-
	运行在以下环境
	硬件	cisco	vedge_100	-	-
	运行在以下环境
	硬件	cisco	vedge_1000	-	-
	运行在以下环境
	硬件	cisco	vedge_100b	-	-
	运行在以下环境
	硬件	cisco	vedge_100m	-	-
	运行在以下环境
	硬件	cisco	vedge_100wm	-	-
	运行在以下环境
	硬件	cisco	vedge_2000	-	-
	运行在以下环境
	硬件	cisco	vedge_5000	-	-
	运行在以下环境
	硬件	cisco	vsmart_controller	-	-

CVSS3评分 6.0

• 攻击路径 本地
• 攻击复杂度 低
• 权限要求 高
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 无
• 完整性 高

CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:H

CWE-ID	漏洞类型
CWE-552	对外部实体的文件或目录可访问

Exp相关链接

- avd.aliyun.com