Cisco NX-OS Python分析程序提权漏洞
Cisco NX-OS Python分析程序提权漏洞
漏洞编号:CVE-2019-1727
风险等级:高危
CVSS分值:7.2
受影响版本:
Cisco Bug ID ≧ CSCvi99288
漏洞描述:
Cisco NX-OS软件的Python脚本子系统中的漏洞可能允许经过身份验证的本地攻击者逃脱Python解析器并发出任意命令以提升攻击者的权限级别。该漏洞是由于用户提供的参数的消毒不足 传递给受影响设备的脚本沙箱中的某些Python函数。攻击者可以利用此漏洞逃脱脚本沙箱并执行任意命令来提升攻击者的权限级别。
请参考:
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvi99284
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvh24788
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvi99282
https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvi99288
修复建议:
1、最终解决方法:
- 升级到 Cisco Bug ID CSCvi99284, CSCvh24788, CSCvi99282, CSCvi99288中引用的相关固定版本。