关键漏洞信息 漏洞概述 CVE ID: CVE-2020-20286, CVE-2020-20285 严重性: 中等 (CVSS Base Score: 6.0) 影响产品: - UCS 6300 系列 Fabric Interconnects - UCS 9400 系列 Fabric Interconnects - UCS 9500 系列 Fabric Interconnects - UCS-X 系列 Direct Attach Interconnects 10/40G 漏洞详情 CLI 和 Web 基础管理接口中的命令注入漏洞: - 认证的本地攻击者可以通过在受影响设备上执行命令注入攻击来利用这些漏洞,从而提升权限并获得对底层操作系统的控制。 - 攻击者可以使用认证用户提供的命令参数中的恶意输入来创建文件或覆盖任何文件系统上的文件,包括系统文件。 影响范围 易受攻击的产品: - UCS 6300 系列 Fabric Interconnects - UCS 9400 系列 Fabric Interconnects - UCS 9500 系列 Fabric Interconnects - UCS-X 系列 Direct Attach Interconnects 10/40G 确认不受影响的产品: - 多种 Cisco 产品如 Firepower 1000 Series、Firepower 2100 Series 等 解决方案和修复 已发布软件更新: - Cisco 已发布软件更新以解决这些漏洞。 - 用户应定期检查 Cisco 安全公告页面以获取最新信息。 绕过方法 无绕过方法: - 目前没有可用的绕过方法来解决这些漏洞。 公开披露和公告 内部安全测试发现: - 这些漏洞是在内部安全测试中发现的。 URL Cisco Security Advisory 修订历史 版本 1.0: 初始公开版本,发布日期为 2020 年 4 月 7 日。