کمیته رکن چهارم – شرکت سیسکو از کشف یک آسیبپذیری حیاتی در نرمافزار SD-WAN vManage این شرکت خبر داد.
این آسیب پذیری با شناسه CVE-2023-20214 و شدت بحرانی و امتیاز ۹.۱ در محصولات سیسکو یافت شده است.
این آسیبپذیری به دلیل عدم اعتبارسنجی کافی درخواستها هنگام استفاده از ویژگی REST API به وجود میآید. یک مهاجم میتواند از طریق ارسال درخواست API منحصربهفرد به یک نمونه vManage متأثر، از این آسیبپذیری بهرهبرداری کند.
در صورت موفقیتآمیز بودن حمله، هکر قادر خواهد بود اطلاعات را از پیکربندی نمونه Cisco vManage متأثر دریافت و اطلاعات را به آن ارسال کند. این آسیبپذیری تنها تأثیری بر روی REST API دارد و بر روی رابط مدیریت مبتنی بر وب یا رابط خط فرمان تأثیری ندارد.
این APIها برای نظارت بر وضعیت دستگاه، پیکربندی دستگاه، به دست آوردن اطلاعات آماری از دستگاه استفاده میشوند.
نسخههایی که تحت تأثیر این آسیبپذیری هستند و نسخههای اصلاح شده این نرمافزار را میتوانید در جدول زیر مشاهده کنید:
