Ciscoのネットワーク設計プラットフォームに認証回避の脆弱性
ネットワークモデルの設計やシミュレーション、テストなどを実施できるプラットフォーム「Cisco Modeling Lab」において、認証のバイパスが可能となる脆弱性が明らかとなった。
「同Enterprise」や「同for Education」の外部向け認証機能に脆弱性「CVE-2023-20154」が明らかとなったもの。「同Personal」「同Personal Plus」は影響を受けない。
LDAP認証を設定しており、関連する外部認証サーバに有効なユーザー資格情報を有する場合に悪用が可能で、リモートより認証をバイパスして管理者権限でウェブ管理ページへアクセスされるおそれがある。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。顧客向けサポートの過程で発見したもので、脆弱性の悪用や公開などは確認されていない。
同社では脆弱性を修正した「同2.5.1」をリリース。脆弱性の影響を受ける「同2.3」以降の利用者に対してアップデートを呼びかけている。
(Security NEXT - 2023/04/21 )
ツイート
PR
関連記事
Apple、「iOS 16/15」向けにセキュリティ更新 - 悪用脆弱性を解消
役員の業務依頼を装うフィッシング攻撃で被害 - マリモHD
個人情報含むメールを外部関係者へ誤送信 - 工業所有権情報・研修館
Adobe、複数製品向けにアップデート - 深刻な脆弱性を修正
Adobe、11製品にセキュリティ更新 - 「クリティカル」脆弱性など修正
「AdGuard Home」に深刻な脆弱性 - 修正版が公開
海外子会社にサイバー攻撃、経路や影響を調査 - 河西工業
GitLab、セキュリティアップデートを公開 - 脆弱性15件に対応
Veeam製バックアップ管理ソフトに深刻な脆弱性 - アップデートが公開
前回更新から2日で「Chrome」がアップデート - ゼロデイ脆弱性を緊急修正
