شرکت سیسکو یک بهروزرسانی امنیتی برای رفع یک آسیبپذیری بحرانی در ابزار خودکارسازی عملکردهای مجازی موسوم به Elastic Services Controller منتشر کرد. مهاجم راه دور از طریق این آسیبپذیری بدون احراز هویت میتواند کنترل سامانه هدف را به دست گیرد.
این آسیبپذیری در گذر از مکانیسم احراز هویت تحت مشخصه CVE-2019-1867 با امتیاز ۱۰ منتشرشده است. این آسیبپذیری در REST API در ESC وجود دارد، که به مهاجم امکان دسترسی به این REST API را بدون احراز هویت میدهد.
این حفره امنیتی نسخههای ۴.۱، ۴.۲، ۴.۳ را زمانی که REST API فعال باشد، تحت تأثیر قرار میدهد. REST API بهصورت پیشفرض فعال نیست.
شواهدی مبنی بر استفاده گسترده از این آسیبپذیری یافت نشده است. جزئیات بهروزرسانی را از اینجا مطالعه بفرمایید.
مطالب مرتبط:
نسخه آزمایشی Snort 3 هم اکنون در دسترس قرار دارد
پیشنهادات سیسکو برای امنسازی دستگاهها در برابر حملات سایبری
آسیبپذیری های جدید محصولات سیسکو
منبع: Security Affairs
