Cisco Prime Infrastructure命令注入漏洞（CVE-2021-1487）预警

一、 基本情况

5月19日，Cisco发布安全公告，修复了Cisco Prime Infrastructure和Cisco Evolved Programmable Network Manager一处操作系统命令注入漏洞，漏洞CVE编号：CVE-2021-1487。攻击者可利用该漏洞在受影响的系统上执行任意命令。建议受影响用户及时升级最新版本进行防护，做好资产自查以及预防工作，以免遭受黑客攻击。

二、 漏洞描述

Cisco Prime Infrastructure Software是一套基础网络生命周期管理解决方案。Cisco Evolved Programmable Network Manager是一套网络管理解决方案。

该漏洞是由于Web管理界面对用户提供的输入验证不足导致的。攻击者可通过发送恶意HTTP请求，成功利用该漏洞在受影响系统上执行任意命令。

三、 影响范围

Cisco Prime Infrastructure <=3.9

Cisco Evolved Programmable Network Manager<=5.1

四、 安全建议

目前官方已发布新版本修复该漏洞，建议用户及时升级安装。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-pi-epnm-cmd-inj-YU5e6tB3

五、参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-pi-epnm-cmd-inj-YU5e6tB3

（来源：工业和信息化部网络安全威胁和漏洞信息共享平台 https://www.cstis.cn/post/848746df-b3f5-aa62-6f1c-066786f87c47）