Cisco Nexus 5000 Series Switches NX-OS System Software命令注入漏洞（CNVD-2017-07542）

CVE编号

CVE-2017-6650

利用情况

暂无

补丁情况

N/A

披露时间

2017-05-22

漏洞描述

Cisco Nexus 5000 Series Switches是美国思科（Cisco）公司的Cisco Nexus系列数据中心级交换机。Cisco NX-OS System Software是运行在其中的一套数据中心操作系统。 Cisco Nexus 5000 Series Switches中的Cisco NX-OS System Software 7.1版本至7.3版本的中Telnet CLI命令存在命令注入漏洞。本地攻击者可通过注入特制的命令参数利用该漏洞在用户路径之外以用户权限读取或写入任意的文件。

解决建议

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：https://www.cisco.com/

参考链接
http://www.securityfocus.com/bid/98528
http://www.securitytracker.com/id/1038518
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-s...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	cisco	nx-os	7.1(1)n1(1)	-
	运行在以下环境
	系统	cisco	nx-os	7.1(2)n1(1)	-
	运行在以下环境
	系统	cisco	nx-os	7.1(3)n1(1)	-
	运行在以下环境
	系统	cisco	nx-os	7.1(3)n1(2)	-
	运行在以下环境
	系统	cisco	nx-os	7.1(3)n1(2.1)	-
	运行在以下环境
	系统	cisco	nx-os	7.1(3)n1(3.12)	-
	运行在以下环境
	系统	cisco	nx-os	7.1(4)n1(1)	-
	运行在以下环境
	系统	cisco	nx-os	7.2(0)d1(0.437)	-
	运行在以下环境
	系统	cisco	nx-os	7.2(0)n1(1)	-
	运行在以下环境
	系统	cisco	nx-os	7.2(0)zz(99.1)	-
	运行在以下环境
	系统	cisco	nx-os	7.2(1)n1(1)	-
	运行在以下环境
	系统	cisco	nx-os	7.3(0)n1(1)	-
	运行在以下环境
	硬件	cisco	nexus_5548up	-	-
	运行在以下环境
	硬件	cisco	nexus_5596t	-	-
	运行在以下环境
	硬件	cisco	nexus_5596up	-	-
	运行在以下环境
	硬件	cisco	nexus_56128p	-	-
	运行在以下环境
	硬件	cisco	nexus_5624q	-	-
	运行在以下环境
	硬件	cisco	nexus_5648q	-	-
	运行在以下环境
	硬件	cisco	nexus_5672up	-	-
	运行在以下环境
	硬件	cisco	nexus_5672up-16g	-	-
	运行在以下环境
	硬件	cisco	nexus_5696q	-	-

CVSS3评分 7.8

• 攻击路径 本地
• 攻击复杂度 低
• 权限要求 低
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型
CWE-20	输入验证不恰当
CWE-77	在命令中使用的特殊元素转义处理不恰当（命令注入）

Exp相关链接

- avd.aliyun.com