Cisco NX-OS Python分析程序提权漏洞

漏洞编号：CVE-2019-1727

风险等级：高危

CVSS分值：7.2

受影响版本：

Cisco Bug ID ≧ CSCvi99288                

漏洞描述：

 Cisco NX-OS软件的Python脚本子系统中的漏洞可能允许经过身份验证的本地攻击者逃脱Python解析器并发出任意命令以提升攻击者的权限级别。该漏洞是由于用户提供的参数的消毒不足 传递给受影响设备的脚本沙箱中的某些Python函数。攻击者可以利用此漏洞逃脱脚本沙箱并执行任意命令来提升攻击者的权限级别。

请参考：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-nxos-pyth-escal

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvi99284

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvh24788

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvi99282

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvi99288

修复建议：

1、最终解决方法：

- 升级到 Cisco Bug ID CSCvi99284, CSCvh24788, CSCvi99282, CSCvi99288中引用的相关固定版本。