首页 -> 安全研究

安全研究

安全漏洞
Cisco Prime Infrastructure与Evolved Programmable Network Manager目录遍历漏洞(CVE-2019-1

发布日期:2019-05-15
更新日期:2019-05-20

受影响系统:
Cisco Prime Infrastructure 3.3
Cisco Prime Infrastructure 3.2
Cisco Prime Infrastructure 3.1
Cisco Prime Infrastructure 3.0
不受影响系统:
Cisco Prime Infrastructure 3.6
Cisco Prime Infrastructure 3.5
Cisco Prime Infrastructure 3.4
描述:
BUGTRAQ  ID: 108351
CVE(CAN) ID: CVE-2019-1819

Cisco Prime Infrastructure和Cisco Evolved Programmable Network Manager software都是美国思科(Cisco)公司的产品。Cisco Prime Infrastructure是一种网络管理工具,支持从一个图形界面对整个网络基础设施进行全生命周期管理。
Cisco Prime Infrastructure与Evolved Programmable Network Manager在Web管理界面中存在一个漏洞,允许经过身份验证的远程攻击者下载和查看受限应用程序内的文件。
漏洞的产生是因为受影响程序未正确地在描述文件名的HTTP请求参数中清理用户提供的输入。通过使用目录遍历技术将路径提交到所需的文件位置,攻击者可利用此漏洞,成功后可查看可能包含敏感信息的应用程序文件。

<*来源:Steven Seeley (mr_me) of Source Incite
  
  链接:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-pi-pathtrav-
*>

建议:
厂商补丁:

Cisco
-----
Cisco已经为此发布了一个安全公告(cisco-sa-20190515-pi-pathtrav-1819)以及相应补丁:
cisco-sa-20190515-pi-pathtrav-1819:Cisco Prime Infrastructure and Evolved Programmable Network Manager Path Traversal Vulnerability
链接:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190515-pi-pathtrav-

补丁下载:

浏览次数:1304
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障