从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞名称:Cisco Application Policy Infrastructure Controller Privilege Escalation Vulnerability - 漏洞ID:cisco-sa-capic-priv-esc-uYQJnuU - CVE编号:CVE-2024-20478 - CWE编号:CWE-250 - CVSS评分:Base 6.5 2. 受影响的产品: - Cisco Application Policy Infrastructure Controller (APIC) 和 Cisco Cloud Network Controller - 版本:5.3、6.0、6.1 3. 漏洞影响: - 漏洞描述:允许具有管理员权限的远程攻击者安装修改后的软件镜像,导致任意代码注入。 - 漏洞原因:软件升级组件的签名验证不足。 - 缓解措施:建议定期检查Cisco产品的安全公告,以确定暴露情况并获取完整的升级解决方案。 4. 受影响的软件版本: - 受影响的版本:5.3、6.0、6.1 - 修复版本:5.3(2d)、6.0(6c) 5. 受影响的产品状态: - Cisco Cloud Network Controller:已进入生命周期末期,不再发布软件更新。 6. 安全政策: - 提供了Cisco安全漏洞披露政策和安全通知订阅的链接。 7. 来源: - 感谢Sara Veterini、Gianluca Roascio和Giacomo Gloria从意大利国家网络安全局(ACN)发现并报告了此漏洞。 8. 修订历史: - 版本1.0:初始公开发布,状态为最终。 9. 免责声明: - 文档以“AS IS”基础提供,不提供任何保证或保修,包括但不限于适销性和特定用途的适用性。 这些信息可以帮助用户了解漏洞的详细情况、受影响的产品和版本、缓解措施以及相关安全政策。