Cisco Evolved Programmable Network Manager 多个漏洞 (cisco-sa-pi-epnm-wkZJeyeq)
medium Nessus 插件 ID 188002
语言:
简介
远程设备缺少供应商提供的安全补丁。描述
远程主机上安装的 Cisco Prime Infrastructure 版本低于 3.10.4。因此,该应用程序受到多个漏洞影响:- Cisco EPNM 和 Cisco Prime Infrastructure 的基于 Web 的管理界面存在漏洞,此漏洞可允许经身份验证的远程攻击者对受影响的系统执行 SQL 注入攻击。而造成此漏洞的原因是不当验证用户提交的参数。(CVE-2023-20271)
- Cisco EPNM 和 Cisco Prime Infrastructure 的 CLI 应用程序中存在一个漏洞,经过身份验证的本地攻击者可借此实现权限升级。造成此漏洞的原因是未正确处理应用程序脚本的命令行参数。(CVE-2023-20260)
- Cisco EPNM 和 Cisco Prime Infrastructure 的基于 Web 的管理界面存在漏洞,此漏洞可允许经身份验证的远程攻击者执行 XSS 攻击。此漏洞之所以存在,是因为未正确验证 Web 管理界面中由用户提供的输入。(CVE-2023-20257)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到供应商公告中提及的相关修复版本另见
http://www.nessus.org/u?53497b93
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwf15468
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwf81862
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwf81865
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwf81870
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwf83557
插件详情
严重性: Medium
ID: 188002
文件名: cisco-sa-pi-epnm-wkZJeyeq_epnm.nasl
版本: 1.2
类型: remote
系列: CISCO
发布时间: 2024/1/12
最近更新时间: 2024/1/25
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:N/A:N
CVSS 分数来源: CVE-2023-20271
CVSS v3
风险因素: Medium
基本分数: 6.7
时间分数: 5.8
矢量: CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS 分数来源: CVE-2023-20260
漏洞信息
CPE: cpe:/a:cisco:evolved_programmable_network_manager
必需的 KB 项: installed_sw/Cisco EPN Manager
易利用性: No known exploits are available
补丁发布日期: 2024/1/10
漏洞发布日期: 2024/1/10
参考资料信息
CVE: CVE-2023-20257, CVE-2023-20260, CVE-2023-20271
CISCO-SA: cisco-sa-pi-epnm-wkZJeyeq
IAVA: 2024-A-0022
CISCO-BUG-ID: CSCwf81862, CSCwf81865, CSCwf81870, CSCwf83557, CSCwf83560, CSCwf83565