Cisco 修复了 BPA 和 WSA 中的高严重性问题

思科针对业务流程自动化 (BPA) 和网络安全设备 (WSA) 中的高严重性漏洞发布了安全补丁，这些漏洞使用户面临权限提升攻击。

这家 IT 巨头修复了业务流程自动化 (BPA) 中的两个漏洞（CVE-2021-1574、CVE-2021-1576），经过身份验证的攻击者可以远程利用它们将其权限提升为管理员。这两个问题都存在于业务流程自动化 (BPA) 的基于 Web 的管理界面中，它们的 CVSS 得分为 8.8。

“思科业务流程自动化 (BPA) 基于 Web 的管理界面中的多个漏洞可能允许经过身份验证的远程攻击者将权限提升为管理员。” 阅读公司发布的公告。“这些漏洞是由于对特定功能的授权执行不当以及对包含机密信息的日志文件的访问造成的。攻击者可以通过将精心制作的 HTTP 消息提交到受影响的系统并以管理员的权限执行未经授权的操作，或者通过从日志中检索敏感数据并使用它来冒充合法的特权用户来利用这些漏洞。成功的利用可能允许攻击者将权限提升为管理员。“

经过身份验证的攻击者可以利用 CVE-2021-1574 执行未经授权的命令，而 CVE-2021-1576 缺陷可以允许经过身份验证的攻击者访问易受攻击系统的日志子系统并访问敏感数据。

该公司在 3.1 版及更高版本中修复了 Cisco BPA 中的这些漏洞。

思科表示没有解决方法来缓解这些漏洞。

该公司还修复了思科网络安全设备 (WSA) 的 Cisco AsyncOS 配置管理中的一个漏洞，编号为 CVE-2021-1359。该漏洞可能允许经过身份验证的远程攻击者注入命令并获得 root 权限。

“此漏洞是由于对用户提供的 Web 界面 XML 输入的验证不足。攻击者可以通过将包含脚本代码的精心制作的 XML 配置文件上传到易受攻击的设备来利用此漏洞。成功的漏洞利用可能允许攻击者在底层操作系统上执行任意命令并将特权提升到 root。” 阅读咨询。“攻击者需要具有上传配置文件权限的有效用户帐户才能利用此漏洞。”

该漏洞的 CVSS 得分为 6.3，它影响 WSA 设备的虚拟和硬件 AsyncOS，在这种情况下也没有解决方法。适用于 WSA 版本 12.0.3-005 或 12.5.2 的 AsyncOS 解决了该漏洞。

思科产品安全事件响应小组 (PSIRT) 不知道任何利用上述漏洞的公开公告或攻击。