关键漏洞信息 漏洞ID: cisco-sa-sna-aplacy-4B0XSyw CVE ID: CVE-2020-2057 CWE ID: CWE-863 严重性: Medium (CVSS Base 6.5) 影响产品: - Cisco Secure Network Analytics Manager - Cisco Secure Network Analytics Virtual Manager 漏洞描述: - 在Cisco Secure Network Analytics Manager和Cisco Secure Network Analytics Virtual Manager的API子系统中存在一个漏洞,允许低权限的远程攻击者通过特定API生成虚假发现,从而触发警报和警报。 - 攻击者可以通过低权限用户身份验证并使用精心设计的输入执行API调用,成功利用此漏洞可以混淆分析报告中的合法发现或在受影响的产品上创建错误警报。 修复措施: - Cisco已发布软件更新以解决此漏洞。 - 没有可用的变通方法。 确认不受影响的产品: - Secure Cloud Analytics - Secure Network Analytics Data Store - Secure Network Analytics Flow Collector - Secure Network Analytics Flow Sensor - Secure Network Analytics Monitor - Secure Network Analytics Virtual Data Store - Secure Network Analytics Virtual Flow Collector - Secure Network Analytics Virtual Flow Sensor - Secure Network Analytics Virtual UDP Director 修复版本: - Cisco Secure Network Analytics Release 7.5.1及更早版本: 不受影响 - Cisco Secure Network Analytics Release 7.5.2: 7.5.2 SMC ROLLUP20250416-01 来源: 此漏洞是在Cisco Advanced Security Initiatives Group (ASIG)的Joseph Leduc进行内部安全测试时发现的。