کمیته رکن چهارم – شرکت سیسکو دو آسیبپذیری با درجهی اهمیت بالا را در کنترلر زیرساخت سیاستهای برنامهی کاربردی (APIC) وصله کرده است. بهرهبرداری از این آسیبپذیریها میتواند به مهاجم این امکان را بدهد تا بر روی ماشین میزبان، امتیازات خود را ارتقاء دهند.
این محصول فابریک APIC را خودکار و مدیریت میکند، کارایی برنامههای کاربردی را بهبود داده و ماشینها و میزبانهای مجازی را فراهم میکند. سیسکو اعلام کرد که یک مهاجم از راه دور اگر احراز هویت شده باشد، میتواند امتیازات خود را ارتقاء دهد. سیسکو همچنین اعلام کرد که مهاجم در هر صورت نمیتواند امتیازات سطح ریشه را به دست آورد.
سیسکو اعلام کرد این آسیبپذیری به این دلیل وجود دارد که سامانهی کنترل دسترسی مبتنی نقش، اگر مهاجم از راه دور با استفاده از SSH وارد سامانه شده باشد، این امکان را فراهم میکند تا کاربر پس از احراز هویت بتواند امتیازات خود را اردتقاء دهد. مهاجم با بهرهبرداری از این آسیبپذیریها میتواند دستورات را در CLI اجرا کند هرچند که امتیازات او بسته به پیکربندی که مربوط به نقش او بوده، محدود میشود. سیسکو یک آسیبپذیری دوم را نیز وصله کرده است که مهاجم با بهرهبرداری از آن میتوانست به امتیازات ریشه دست یابد.
منبع : asis
