【威胁通告】Cisco Aironet Access Points未授权访问漏洞

当地时间10月17日,Cisco发布安全通告称修复了一个Aironet Access Points(APs)的未授权访问漏洞。该漏洞源于没有对特定的URL进行过滤,攻击者可以通过构造恶意的URL并且发送给受影响的AP来触发该漏洞,从而获取到设备的访问权限。攻击者之后可以修改AP的多项配置数据,并造成拒绝服务攻击。

阅读全文 “【威胁通告】Cisco Aironet Access Points未授权访问漏洞” »

【威胁通告】Cisco IOS XE REST API 容器身份认证绕过漏洞(CVE-2019-12643)

当地时间8月28日,Cisco官方发布公告修复了Cisco IOS XE软件的REST API虚拟服务容器中一个认证绕过漏洞(CVE-2019-12643)。

漏洞成因是管理REST API身份验证服务的代码执行了不正确的检查。攻击者可以通过向目标设备提交恶意HTTP请求来利用此漏洞。

成功的漏洞利用可允许攻击者获得一个已经过身份验证用户的令牌id。此令牌id可用于绕过身份验证,并通过受影响的Cisco IOS XE设备上的REST API虚拟服务容器接口执行特权操作。 阅读全文 “【威胁通告】Cisco IOS XE REST API 容器身份认证绕过漏洞(CVE-2019-12643)” »

【威胁通告】Cisco Common Service Platform Collector默认密码漏洞CVE-2019-1723

Cisco发布公告修复了一个Cisco Common Service Platform Collector(CSPC)中存在的漏洞(CVE-2019-1723)。该漏洞源于系统中存在的一个具有固定密码的默认账户,攻击者可以通过该账户与密码直接远程登录受影响的设备,该账户不具备管理员权限。

阅读全文 “【威胁通告】Cisco Common Service Platform Collector默认密码漏洞CVE-2019-1723” »