10критическая
BDU:2019-03001
Уязвимость веб-интерфейса управления супервизора Cisco Integrated Management Controller (IMC) Supervisor, средства управления физической инфраструктурой и виртуальными средами Cisco UCS Director и Cisco UCS Director Express for Big Data, позволяющая нарушителю получить действительный токен сессии с привилегиями администратора в целевой системе
Опубликовано: 2019-08-30
Описание
Уязвимость веб-интерфейса управления супервизора Cisco Integrated Management Controller (IMC) Supervisor, средства управления физической инфраструктурой и виртуальными средами Cisco UCS Director и Cisco UCS Director Express for Big Data связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить действительный токен сессии с привилегиями администратора в целевой системе посредством отправки серии вредоносных запросов
Затрагиваемое ПО и версии
UCS Director (от 6.6.0.0 до 6.6.1.0 включительно)UCS Director (от 6.7.0.0 до 6.7.1.0 включительно)UCS Director Express for Big Data (3.6)UCS Director Express for Big Data (от 3.7.0.0 до 3.7.1.0 включительно)Integrated Management Controller (IMC) Supervisor (от 2.2.0.3 до 2.2.0.6 включительно)
Способ устранения
Использование рекомендаций:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190821-imcs-ucs-authby
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи