漏洞概述 漏洞名称: Cisco Nexus Dashboard Configuration Backup REST API Unauthorized Access Vulnerability (Cisco Nexus Dashboard 配置备份 REST API 未授权访问漏洞) 公告 ID: cisco-sa-nd-cbkd-5YjkOSHu 严重程度: Medium (中等) CVSS 评分: Base 6.5 漏洞描述: 该漏洞存在于 Nexus Dashboard 的加密备份功能中。由于认证详细信息包含在加密的备份文件中,攻击者可以使用有效的备份文件和加密密码解密备份文件。随后,攻击者可以利用备份文件中的认证详细信息访问受设备上的内部只读 API。成功的利用可能允许攻击者在底层操作系统上以 root 权限执行任意命令。 影响范围 受影响产品: 所有运行易受攻击版本的 Cisco Nexus Dashboard 设备。 不受影响产品: Nexus Dashboard Fabric Controller (NDFC) Nexus Dashboard Insights Nexus Dashboard Orchestrator (NDO) 注意: 从 Cisco Nexus Dashboard 版本 3.1(1k) 开始,统一的 Nexus Dashboard 软件镜像包含上述产品,因此这些产品也在修复列表中。 修复方案 受影响版本: Cisco Nexus Dashboard Release 3.2 及更早版本,以及 4.1 版本。 修复措施: 迁移到修复版本 (Migrate to a fixed release)。 不受影响版本: 4.2 版本。 (注:页面中未包含具体的 POC 或利用代码)