思科修复了Industrial Network Director和Modeling Labs解决方案中的关键缺陷

思科发布了安全更新，以解决其Industrial Network Director和Modeling Labs解决方案中的关键安全漏洞。

思科发布了安全更新，以解决Industrial Network Director和Modeling Labs解决方案中的关键安全漏洞。

攻击者可以利用这些漏洞注入任意操作系统命令或访问敏感数据。

跟踪为CVE-2023-20036（CVSS 评分：9.9）的问题之一存在于Cisco Industrial Network Director的Web UI中。攻击者可以利用该漏洞在底层操作系统上以管理权限执行任意命令。

“Cisco IND的Web UI中的一个漏洞可能允许经过身份验证的远程攻击者在受影响设备的底层操作系统上以管理权限执行任意命令。”“此漏洞是由于上传设备包时输入验证不当造成的。攻击者可以通过更改上传设备包时发送的请求来利用此漏洞。成功的利用可能允许攻击者在受影响设备的底层操作系统上以NT AUTHORITY\SYSTEM身份执行任意命令。”

思科还解决了一个文件权限漏洞，跟踪为CVE-2023-20039（CVSS 评分：5.5），该漏洞可允许经过身份验证的本地攻击者读取应用程序数据。

“此漏洞是由于应用于应用程序数据目录的默认文件权限不足造成的。攻击者可以通过访问应用程序数据目录中的文件来利用此漏洞。成功的攻击可能允许攻击者查看敏感信息。” 阅读该公司发布的公告。

这家 IT巨头通过发布1.11.3 版本解决了这些缺陷，该公司指出没有解决这些问题的解决方法。

这两个缺陷是由一位不愿透露姓名的“外部”研究人员向该公司报告的。

思科解决了外部身份验证机制中的一个严重漏洞，跟踪为 CVE-2023-20154（CVSS 评分：9.1）。未经身份验证的远程攻击者可以触发问题以使用管理权限访问 Web 界面。

“此漏洞是由于对相关外部身份验证服务器返回的某些消息的处理不当造成的。攻击者可以通过登录到受影响服务器的 Web 界面来利用此漏洞。在某些情况下，身份验证机制将被绕过，攻击者将以管理员身份登录。”“成功的利用可能允许攻击者在受影响服务器的 Web 界面上获得管理权限，包括访问和修改每个模拟和所有用户创建的数据的能力。要利用此漏洞，攻击者需要存储在相关外部身份验证服务器上的有效用户凭据。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/5604.html