发布日期：2012-03-28
更新日期：2012-03-29

受影响系统：

Cisco IOS 15.x
Cisco IOS XE 3.x

不受影响系统：

Cisco IOS 15.1 SG
Cisco IOS 15.0SA
Cisco IOS XE 3.6.0S
Cisco IOS XE 3.2.xSG

描述：

---

BUGTRAQ  ID: 52755
CVE ID: CVE-2012-0384

Cisco的网际操作系统（IOS）是一个为网际互连优化的复杂操作系统。

Cisco IOS软件使用AAA授权时在远程应用或设备权限级别的实现上存在安全漏洞，可允许远程未验证攻击者绕过命令授权，允许远程已验证的HTTP或HTTPS会话执行其授权级别上配置的所有Cisco IOS命令。此漏洞需要在设备上启用HTTP或HTTPS服务器。成功利用需要有效的用户名和密码。

<*来源：Cisco
  
  链接：http://secunia.com/advisories/48636/
        http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120328-pai
*>

建议：

---

厂商补丁：

Cisco
-----
Cisco已经为此发布了一个安全公告（cisco-sa-20120328-pai）以及相应补丁:

cisco-sa-20120328-pai：Cisco IOS Software Command Authorization Bypass

链接：http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120328-pai

浏览次数：3029
严重程度：0（网友投票）