（在说正事之前，我要推荐一个福利：你还在原价购买阿里云、腾讯云、华为云服务器吗？那太亏啦！来这里，新购、升级、续费都打折，能够为您省60%的钱呢！2核4G企业级云服务器低至69元/年，点击进去看看吧>>>)

思科在其应用程序中心基础设施(ACI)多站点协调器(MSO)中解决了一个最严重的漏洞，该漏洞允许未经身份验证的远程攻击者绕过易受攻击设备上的身份验证。

黑客可利用漏洞进行 API 验证

在一份公开发布的报告中，该公司表示，攻击者可以通过向受影响的 API 发送请求来利用此漏洞。攻击者可能借此获得具有管理员级特权的令牌，这些令牌可用于对受影响的 MSO 和受管的 Cisco Application Policy Infrastructure Controller（APIC）设备上的 API 进行身份验证。

该漏洞被追踪为 CVE-2021-1388，在 CVSS 漏洞评分系统中排名 10（满分10分），其原因是 Cisco ACI MSO 安装了 Application Services Engine 的 API 端点上的一个不正确的令牌验证。它会影响运行 3.0 版本软件的 ACI MSO 版本。

此外，该公司还修补了思科应用服务引擎（CVE-2021-1393和 CVE-2021-1396，CVSS score 9.8）中的多个漏洞，这些漏洞可能允许远程攻击者访问特权服务或特定API，从而导致运行能力容器或调用主机级操作，并了解“特定于设备的信息，在隔离的卷中创建技术支持文件，并进行有限的配置更改”。

思科指出，这两个漏洞都是由于数据网络中运行的 API 访问控制不足造成的。

漏洞未被恶意攻击者利用

网络专业人士说，上述三个漏洞是在内部安全测试中发现的，但他补充说，没有发现恶意企图利用这些漏洞。

最后，思科修复了一个漏洞（CVE-2021-1361，CVSS scores 9.8），该漏洞用于为思科 Nexus 3000 系列交换机和思科 Nexus 9000 系列交换机提供内部文件管理服务。

该公司警告说，这可能允许恶意攻击者参与者创建、删除或覆盖设备上具有根特权的任意文件，包括允许攻击者在设备管理员不知情的情况下添加用户账户。

思科表示，运行思科 NX-OS 软件发行版 9.3（5）或9.3（6）的 Nexus 3000 和 Nexus 9000 交换机在默认情况下容易受到攻击。

思科在概述中提到，“这个漏洞的存在是因为 TCP 端口 9075 被错误地配置为侦听和响应外部连接请求。攻击者可以通过将特制的 TCP 数据包发送到 TCP 端口 9075 的本地接口上配置的 IP 地址来利用此漏洞。”

几周前，思科对其小型企业路由器中的多达 44 个漏洞进行了修正，这些缺陷可能允许未经身份验证的远程攻击者作为根用户执行任意代码，甚至导致拒绝服务。

本文转自网络，版权归原作者所有，原文链接：https://segmentfault.com/a/1190000039308767