Cisco устраняет опасную уязвимость в ACE 4710


CiscoКомпания Cisco выпустила внеплановый бюллетень безопасности, устраняющий опасную уязвимость в Cisco ACE 4710. Эксплуатация обнаруженной ошибки позволяет выполнить произвольные команды с привилегиями администратора.

В бюллетене Cisco сообщается о том, что графический интерфейс компонента Device Manager некорректно проверяет вводимые пользователем данные. Удаленный авторизованный пользователь может обойти ограничения управления доступом на основе ролей и выполнить произвольные команды с привилегиями администратора.

Для эксплуатации уязвимости CVE-2016-1297 достаточно отправить специально сформированный запрос POST с командами, вставленными в значение параметра POST. Уязвимость затрагивает Cisco ACE 4710 с прошивкой версии до A5(3.0).

Производитель настоятельно рекомендует установить исправление в кратчайшие сроки. В качестве временной меры по предотвращению эксплуатации нужно отключить доступ к графическому интерфейсу Device Manager.


Обновлено (26.02.2016 23:15)