发布日期：2010-06-10
更新日期：2010-06-12

受影响系统：

Cisco Application Extension Platform 1.1.5
Cisco Application Extension Platform 1.1

不受影响系统：

Cisco Application Extension Platform 1.5.x
Cisco Application Extension Platform 1.1.7
Cisco Application Extension Platform 1.0

描述：

---

BUGTRAQ  ID: 40682
CVE ID: CVE-2010-1572

Cisco应用扩展平台（AXP）允许在Cisco集成服务路由器（ISR）上托管第三方应用。

Cisco AXP的技术支持诊断shell的命令行接口存在权限提升漏洞，允许通过认证的用户获得对有漏洞Cisco AXP模块的完全管理访问。

通过认证的Cisco AXP用户可使用API在承载AXP模块的Cisco ISR上执行命令。AXP用户可以获得允许获得对ISR设备访问的敏感配置信息。Cisco AXP 1.5版本要求ISR配置中配置了用户，这样AXP用户才可以使用API执行命令。

<*来源：n.runs AG
  
  链接：http://secunia.com/advisories/40093/
        http://www.cisco.com/warp/public/707/cisco-sa-20100609-axp.shtml
*>

建议：

---

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20100609-axp）以及相应补丁:
cisco-sa-20100609-axp：Cisco Application Extension Platform Privilege Escalation Vulnerability
链接：http://www.cisco.com/warp/public/707/cisco-sa-20100609-axp.shtml

浏览次数：2257
严重程度：0（网友投票）