Ciscoのネットワーク設計プラットフォームに認証回避の脆弱性
ネットワークモデルの設計やシミュレーション、テストなどを実施できるプラットフォーム「Cisco Modeling Lab」において、認証のバイパスが可能となる脆弱性が明らかとなった。
「同Enterprise」や「同for Education」の外部向け認証機能に脆弱性「CVE-2023-20154」が明らかとなったもの。「同Personal」「同Personal Plus」は影響を受けない。
LDAP認証を設定しており、関連する外部認証サーバに有効なユーザー資格情報を有する場合に悪用が可能で、リモートより認証をバイパスして管理者権限でウェブ管理ページへアクセスされるおそれがある。
共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。顧客向けサポートの過程で発見したもので、脆弱性の悪用や公開などは確認されていない。
同社では脆弱性を修正した「同2.5.1」をリリース。脆弱性の影響を受ける「同2.3」以降の利用者に対してアップデートを呼びかけている。
(Security NEXT - 2023/04/21 )
ツイート
PR
関連記事
フィッシング対策GLを改訂 - 要件から「EV証明書」の記載削除
「Chrome」にセキュリティアップデート - ゼロデイ脆弱性を修正
WP向け人気プラグイン「Jetpack」に深刻な脆弱性 - 早急に更新を
Zyxel製機器の脆弱性、積極的な悪用も - あらたな脆弱性も判明
5月下旬に修正されたZyxel製品の脆弱性、早くも攻撃の標的に
顧客情報含むリストを誤送信、同姓の別人に - ニッカトー
世論調査対象者の個人情報を紛失 - NHK
「じゃらん」を装うフィッシング - 「旅行支援金」口実に誘導
「MOVEit Transfer」の脆弱性、脅迫グループが悪用か
チーム向けパスワード管理ツール「TeamPass」に脆弱性