「Cisco Application Services Engine」などに深刻な脆弱性

さらに「Cisco Application Services Engine」にインストールされた「Cisco ACI Multi-Site Orchestrator（MSO）」においても、認証のバイパスが可能となる脆弱性「CVE-2021-1388」が明らかとなった。

細工したAPIリクエストにより、「MSO」や管理対象の「Cisco Application Policy Infrastructure Controller」における管理者レベルのトークンを取得されるおそれがある。

「3.0（3i）」を除く「同3.0系」に影響があり、「CVSSv3」のベーススコアは最高値である「10」、「クリティカル（Critical）」と評価されている。

同社は脆弱性を修正した「3.0（3m）」をリリースした。内部のテスト中に発見したもので、脆弱性の公開や悪用は確認されていないとしている。

（Security NEXT - 2021/02/26 ） ツイート

PR

関連記事

「Node.js」のアップデート、公開を延期 - 週内にリリース予定
「macOS Tahoe 26.2」で脆弱性47件を修正 - 「Safari」も更新
「iOS」にアップデート - 「WebKit」のゼロデイ脆弱性2件など修正
「Chromium」ゼロデイ脆弱性、Macに影響 - 米当局が注意喚起
「Plesk」Linux版に権限昇格の脆弱性 - アップデートで修正
ウェブメール「Roundcube」にXSSなど脆弱性 - 更新を強く推奨
「React」が脆弱性3件を追加修正 - 重大脆弱性の余波に引き続き警戒を
「MS Edge」にアップデート - 「Chromium」のゼロデイ脆弱性に対処
「AEM」に100件超の脆弱性 - 「クリティカル」も複数
オンライン会議ソフト「Zoom Rooms」に脆弱性 - 最新版で修正済み