2021-1808: Cisco (Cloud) Application Policy Infrastructure Controller: Mehrere Schwachstellen ermöglichen u. a. die Manipulation von Dateien

Historie:

Version 1 (2021-08-26 14:28)

Neues Advisory

Betroffene Software

Netzwerk

Betroffene Plattformen

Hardware
Cisco

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu lesen und zu manipulieren, Privilegien zu eskalieren, beliebigen Befehle einzuschleusen und einen Cross-Site-Scripting (XSS)-Angriff durchzuführen.

Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Die XSS-Schwachstelle erfordert die Interaktion eines Benutzers und deren erfolgreiche Ausnutzung kann Einfluss auf andere Komponenten haben.

Die Schwachstelle CVE-2021-1577 wird von Cisco als kritisch bewertet, besteht in den APIC und Cloud APIC Software Versionen vor 3.2, 3.2, 4.0, 4.1, 4.2, 5.0 und 5.1 und kann mittels der Versionen 3.2(10e), 4.2(6h) oder 5.1(3e) behoben werden, welche allerdings von anderen, hier aufgeführten Schwachstellen noch betroffen sind.

Zur Behebung der Schwachstellen in den Versionszweigen vor 3.2, 4.0, 4.1 und 5.0 muss in jedem Fall eine Migration auf ein höheres Release erfolgen, teilweise trifft dies auch für den Versionszweig 5.1 zu.

Die APIC und Cloud APIC Software Versionen 3.2(10f), 4.2(7l) und 5.2(2f) bzw. 5.2(1h) für die Cloud-Variante beheben alle gelisteten Schwachstellen.

Schwachstellen:

CVE-2021-1577

Schwachstelle in Cisco (Cloud) Application Policy Infrastructure Controller (APIC/Cloud APIC) ermöglicht Lesen und Manipulieren von Dateien

CVE-2021-1578

Schwachstelle in Cisco (Cloud) Application Policy Infrastructure Controller (APIC/Cloud APIC) ermöglicht Privilegieneskalation

CVE-2021-1579

Schwachstelle in Cisco (Cloud) Application Policy Infrastructure Controller (APIC/Cloud APIC) ermöglicht Privilegieneskalation

CVE-2021-1580

Schwachstelle in Cisco (Cloud) Application Policy Infrastructure Controller (APIC/Cloud APIC) ermöglicht Befehlsausführung

CVE-2021-1581

Schwachstelle in Cisco (Cloud) Application Policy Infrastructure Controller (APIC/Cloud APIC) ermöglicht Manipulation von Dateien

CVE-2021-1582

Schwachstelle in Cisco (Cloud) Application Policy Infrastructure Controller (APIC/Cloud APIC) ermöglicht Cross-Site-Scripting-Angriff

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.