漏洞情报 | Cisco Application Policy Infrastructure Controller 多个漏洞

0x01 漏洞描述

Cisco Application Policy Infrastructure Controller（APIC）是美国思科（Cisco）公司的一款自动化的基础架构部署和治理解决方案。

360漏洞云监测到Cisco Application Policy Infrastructure Controller (APIC) 和 Cloud APIC 存在多个严重或高危漏洞。

• CVE-2021-1577 任意文件读写漏洞
• 严重：9.1
• 该漏洞源于访问控制不当，未经认证的远程攻击者可利用该漏洞读写任意文件。
• CVE-2021-1578 特权提升漏洞

高危：8.8

该漏洞源于不当的政策默认设置，经认证的远程攻击者可使用Cisco ACI Multi-Site Orchestrator (MSO) 的非特权凭据发送特定的API请求到受影响的设备来获取管理员凭据，从而提升到管理员权限。

• CVE-2021-1579 特权提升漏洞

高危：8.1

该漏洞源于基于角色的访问控制(RBAC)不足，经认证的拥有管理员只读凭据的远程攻击者可通过使用具有管理员写入凭据的应用发送特定API请求，实现提升至管理员写入权限。

0x02 危害等级

严重

0x03 影响版本

• CVE-2021-1577：<=3.2，4.0，4.1，4.2，5.0，5.1
• CVE-2021-1578：5.0，5.1
• CVE-2021-1579：<=3.2，4.0，4.1，4.2，5.0，5.1，5.2

0x04 修复版本

• CVE-2021-1577：3.2(10e)，4.2(6h)，5.1(3e)
• CVE-2021-1578：5.1(3e)
• CVE-2021-1579：3.2(10f)，4.2(7l)，5.2(2f)

0x05 修复建议

厂商已发布升级修复漏洞，用户请尽快更新至安全版本。