关键信息 漏洞名称: Cisco Integrated Management Controller Substring Comparison Privilege Escalation Vulnerability Advisory ID: cisco-sa-20190821-imc-privescal CVE ID: CVE-2019-1907 CWE: CWE-285 CVSS 评分: 8.8 发布日期: 2019年8月21日 风险等级: 高 漏洞概述 描述: 该漏洞存在于Cisco Integrated Management Controller (IMC)的Web服务器中,允许经过身份验证的远程攻击者设置敏感配置值并获得提升的特权。 原因: 由于受影响软件对子字符串比较操作的不当处理,可以通过发送特制的HTTP请求来利用此漏洞。 影响: 成功利用可使具有只读权限的攻击者获得管理员权限。 影响产品 受影响的产品: Cisco UCS C-Series 和 S-Series 服务器在独立模式下运行的Cisco IMC软件。 不受影响的产品: UCS E-Series 服务器、5000系列企业网络计算系统、UCS管理器管理的FI连接服务器(包括B、C和S系列服务器)。 解决方案与工作区 解决方案: Cisco已发布免费软件更新以解决此漏洞。 工作区: 无。 固定版本 客户应升级到相应的Cisco UCS C-Series和S-Series软件版本,详细见固定版本表。 漏洞发现来源 该漏洞在内部安全测试中被发现。