Cisco Nexus Dashboard Insights 任意文件写入漏洞总结 漏洞概述 在 Cisco Nexus Dashboard Insights 的元数据更新功能中存在漏洞。由于元数据更新文件的验证不足,经过身份验证的远程攻击者可以创建元数据更新文件并手动上传到受影响设备。成功的利用允许攻击者将任意文件写入底层操作系统(作为 root 用户)。利用此漏洞需要有效的管理凭据。 影响范围 受影响产品: Cisco Nexus Dashboard Insights (无论软件配置如何)。 具体受影响版本包括:Cisco Nexus Dashboard Insights Release 6.5 及更早版本。 注意:从 Cisco Nexus Dashboard Release 3.1(1k) 开始,统一的 Nexus Dashboard 软件映像包括 Cisco Nexus Dashboard Insights。Cisco Nexus Dashboard Insights releases 6.4 及更高版本仅作为 Cisco Nexus Dashboard 的一部分提供。 确认不受影响的产品: Cisco Nexus Dashboard Nexus Dashboard Fabric Controller (NDFC) Nexus Dashboard Orchestrator (NDO) 修复方案 软件升级: Cisco 已发布修复此漏洞的软件更新。建议客户升级到已修复的版本。 Cisco Nexus Dashboard Insights Release 6.5 及更早版本:需迁移至已修复的 Nexus Dashboard 版本。 Cisco Nexus Dashboard Release 3.1, 3.2, 4.1:需迁移至已修复版本。 Cisco Nexus Dashboard Release 4.2:不受影响。 规避措施: 目前没有针对此漏洞的规避措施 (There are no workarounds that address this vulnerability)。