思科企业NFV基础设施软件是思科公司的一套nfv基础设施软件平台该平台可以通过中央协调器和控制器实现虚拟化服务的全生命周期管理
日前,思科发布安全公告,思科NFV基础设施软件平台发现认证绕过漏洞,建议尽快升级。以下是该漏洞的详细信息:
漏洞详细信息
CVE—2021—34746 CVSS得分:9.8高
思科企业NFV基础设施软件的TACACS身份验证,授权和计费功能中存在一个漏洞,该漏洞可能允许未经身份验证的远程攻击者绕过身份验证,以管理员身份登录受影响的设备。
该漏洞是由于传递给身份验证脚本的用户提供的输入验证不完全造成的攻击者可以通过在身份验证请求中注入参数来利用此漏洞成功利用此漏洞可使攻击者绕过身份验证,以管理员身份登录受影响的设备
受影响的产品
如果配置了TACACS外部身份验证方法,该漏洞会影响思科企业nfvis 4 . 5 . 1版。
解决办法
思科在思科企业NFVIS 4 . 6 . 1版及更高版本中修复了此漏洞。
有关漏洞和升级的更多信息,请访问官方网站: