「Cisco Application Services Engine」などに深刻な脆弱性

さらに「Cisco Application Services Engine」にインストールされた「Cisco ACI Multi-Site Orchestrator（MSO）」においても、認証のバイパスが可能となる脆弱性「CVE-2021-1388」が明らかとなった。

細工したAPIリクエストにより、「MSO」や管理対象の「Cisco Application Policy Infrastructure Controller」における管理者レベルのトークンを取得されるおそれがある。

「3.0（3i）」を除く「同3.0系」に影響があり、「CVSSv3」のベーススコアは最高値である「10」、「クリティカル（Critical）」と評価されている。

同社は脆弱性を修正した「3.0（3m）」をリリースした。内部のテスト中に発見したもので、脆弱性の公開や悪用は確認されていないとしている。

（Security NEXT - 2021/02/26 ） ツイート

PR

関連記事

米当局、「Gogs」の脆弱性悪用に注意喚起 - 修正コードが公開
「FortiSIEM」にクリティカル脆弱性 - 未認証RCEのおそれ
Adobe、11製品にセキュリティ更新 - 「クリティカル」脆弱性など修正
PWリセット製品「ADSelfService Plus」に認証回避の脆弱性
SAP、セキュリティアドバイザリ17件を公開 - 4件が「クリティカル」
金融向けカード発行システム「Entrust IFI」に深刻な脆弱性
NVIDIAのGPU開発支援ツール「NVIDIA NSIGHT Graphics」に脆弱性
Palo Alto「PAN-OS」のリモートアクセス機能にDoS脆弱性
Fortinet製IP電話「FortiFone」に深刻な脆弱性 - アップデートが公開
「Node.js」アップデート公開、当初予定を上回る脆弱性8件に対応