Cisco Prime Infrastructure命令注入漏洞(CVE-2021-1487)预警
一、 基本情况
5月19日,Cisco发布安全公告,修复了Cisco Prime Infrastructure和Cisco Evolved Programmable Network Manager一处操作系统命令注入漏洞,漏洞CVE编号:CVE-2021-1487。攻击者可利用该漏洞在受影响的系统上执行任意命令。建议受影响用户及时升级最新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
二、 漏洞描述
Cisco Prime Infrastructure Software是一套基础网络生命周期管理解决方案。Cisco Evolved Programmable Network Manager是一套网络管理解决方案。
该漏洞是由于Web管理界面对用户提供的输入验证不足导致的。攻击者可通过发送恶意HTTP请求,成功利用该漏洞在受影响系统上执行任意命令。
三、 影响范围
Cisco Prime Infrastructure <=3.9
Cisco Evolved Programmable Network Manager<=5.1
四、 安全建议
目前官方已发布新版本修复该漏洞,建议用户及时升级安装。
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-pi-epnm-cmd-inj-YU5e6tB3
五、参考链接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-pi-epnm-cmd-inj-YU5e6tB3
(来源:工业和信息化部网络安全威胁和漏洞信息共享平台 https://www.cstis.cn/post/848746df-b3f5-aa62-6f1c-066786f87c47)