发布日期：2019-06-05
更新日期：2019-06-05

受影响系统：

Cisco Cisco IOS XE Software Denali 16.3.7

描述：

---

BUGTRAQ  ID: 108331
CVE(CAN) ID: CVE-2019-1862

Cisco IOS XE软件是美国思科（Cisco）公司为其网络设备开发的操作系统。
Cisco IOS XE软件的基于Web的用户界面（Web UI）中的漏洞可能允许经过身份验证的远程攻击者使用root权限在受影响设备的底层Linux shell上执行命令。

出现此漏洞的原因是受影响的软件不正确地清理了用户提供的输入。拥有对受影响设备的有效管理员访问权限的攻击者可以通过在Web UI中的表单上提供精心设计的输入参数然后提交该表单来利用此漏洞。成功利用可能允许攻击者以root权限在设备上运行任意命令，这可能导致完全系统受损。

<*来源：Red Balloon安全公司的James Chambers
  
  链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui
*>

建议：

---

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20190513-webui）以及相应补丁:
cisco-sa-20190513-webui：Cisco IOS XE Software Web UI Command Injection Vulnerability
链接：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190513-webui

补丁下载：

浏览次数：1730
严重程度：0（网友投票）