Ucs Director
Уязвимости
48
Эксплуатируемые
1
Макс. CVSS
10
Макс. EPSS
0.99999
Распределение по критичности
Критический
22
Высокий
10
Средний
16
Низкий
0
Затронутые диапазоны версий
5.4.0.0–6.7.4.05.5.0.0–5.5.0.26.6.0.0–6.6.1.06.7.0.0–6.7.2.0< 6.6< 6.7.3.1< 6.7.4.0< 6.7.4.1< 6.8.2.0≤ 4.0.0.2
Также сопоставлено как (исходные строки): emergency_responder,ucs_director,crosswork_zero_touch_provisioning,paging_server,advanced_malware_protection_virtual_private_cloud_appliance,ucs director,ucs_director_express_for_big_data,network_assurance_engine,unified_contact_center_express,video_surveillance_operations_manager,common_services_platform_collector,cyber_vision_sensor_management_extension
Топ уязвимостей
BDU:2021-05969Уязвимость компонента JNDI библиотеки журналирования Java-программ Apache Log4j2 связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
CVE-2021-44228В Apache Log4j2 с 2.0-beta9 по 2.15.0 (исключая выпуски безопасности 2.12.2, 2.12.3 и 2.3.1) функции JNDI, используемые в конфигурации, сообщениях журнала и параметрах, не защищают от контролируемых злоумышленником LDAP и других связанных с JNDI конечных точек. Злоумышленник, который может контролировать сообщения журнала или параметры сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена подстановка поиска сообщений. В log4j 2.15.0 это поведение отключено по умолчанию. В версии 2.16.0 (вместе с 2.12.2, 2.12.3 и 2.3.1) эта функция была полностью удалена. Обратите внимание, что эта уязвимость относится к log4j-core и не затрагивает log4net, log4cxx или другие проекты Apache Logging Services.
CVE-2020-3250Множественные уязвимости в REST API Cisco UCS Director и Cisco UCS Director Express for Big Data могут позволить удаленному злоумышленнику обойти аутентификацию или провести атаки обхода каталогов на затронутом устройстве. Для получения дополнительной информации об этих уязвимостях, см. раздел «Подробности» данного бюллетеня.
CVE-2020-3248Множественные уязвимости в REST API Cisco UCS Director и Cisco UCS Director Express for Big Data могут позволить удаленному злоумышленнику обойти аутентификацию или провести атаки обхода каталогов на затронутом устройстве. Для получения дополнительной информации об этих уязвимостях, см. раздел «Подробности» данного бюллетеня.
CVE-2020-3247Множественные уязвимости в REST API Cisco UCS Director и Cisco UCS Director Express for Big Data могут позволить удаленному злоумышленнику обойти аутентификацию или провести атаки обхода каталогов на затронутом устройстве. Для получения дополнительной информации об этих уязвимостях, см. раздел «Подробности» данного бюллетеня.
CVE-2020-3243Множественные уязвимости в REST API Cisco UCS Director и Cisco UCS Director Express for Big Data могут позволить удаленному злоумышленнику обойти аутентификацию или провести атаки обхода каталогов на затронутом устройстве. Для получения дополнительной информации об этих уязвимостях, см. раздел «Подробности» данного бюллетеня.
CVE-2019-1974Уязвимость в веб-интерфейсе управления Cisco Integrated Management Controller (IMC) Supervisor, Cisco UCS Director и Cisco UCS Director Express for Big Data может позволить не прошедшему проверку подлинности удаленному злоумышленнику обойти аутентификацию пользователя и получить доступ в качестве пользователя с правами администратора. Уязвимость связана с недостаточной проверкой заголовка запроса во время процесса аутентификации. Злоумышленник может воспользоваться этой уязвимостью, отправив серию вредоносных запросов на затронутое устройство. Эксплойт может позволить злоумышленнику получить полный административный доступ к затронутому устройству.
CVE-2019-1938Уязвимость в веб-интерфейсе управления Cisco UCS Director и Cisco UCS Director Express для Big Data может позволить не прошедшему проверку подлинности удаленному злоумышленнику обойти аутентификацию и выполнять произвольные действия с правами администратора в затронутой системе. Уязвимость связана с неправильной обработкой запросов аутентификации. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданные HTTP-запросы на затронутое устройство. Успешная эксплуатация может позволить непривилегированному злоумышленнику получать доступ и выполнять произвольные действия через определенные API.
CVE-2019-1937Уязвимость в веб-интерфейсе управления Cisco Integrated Management Controller (IMC) Supervisor, Cisco UCS Director и Cisco UCS Director Express для Big Data может позволить не прошедшему проверку подлинности удаленному злоумышленнику получить действительный токен сеанса с правами администратора, обойдя аутентификацию пользователя. Уязвимость связана с недостаточной проверкой заголовка запроса во время процесса аутентификации. Злоумышленник может воспользоваться этой уязвимостью, отправив серию вредоносных запросов на затронутое устройство. Эксплойт может позволить злоумышленнику использовать полученный токен сеанса для получения полного административного доступа к затронутому устройству.
CVE-2019-1935Уязвимость в Cisco Integrated Management Controller (IMC) Supervisor, Cisco UCS Director и Cisco UCS Director Express для Big Data может позволить не прошедшему проверку подлинности удаленному злоумышленнику войти в CLI затронутой системы, используя учетную запись SCP User (scpuser), которая имеет учетные данные пользователя по умолчанию. Уязвимость связана с наличием задокументированной учетной записи по умолчанию с незадокументированным паролем по умолчанию и неправильными настройками разрешений для этой учетной записи. Изменение пароля по умолчанию для этой учетной записи не применяется во время установки продукта. Злоумышленник может воспользоваться этой уязвимостью, используя учетную запись для входа в затронутую систему. Успешная эксплуатация может позволить злоумышленнику выполнять произвольные команды с привилегиями учетной записи scpuser. Это включает полный доступ для чтения и записи к базе данных системы.
BDU:2020-02417Уязвимость интерфейса REST API средств управления физической инфраструктурой и виртуальными средами Cisco UCS Director и Cisco UCS Director Express for Big Data связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданного запроса
BDU:2020-02411Уязвимость интерфейса REST API средств управления физической инфраструктурой и виртуальными средами Cisco UCS Director и Cisco UCS Director Express for Big Data связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданного запроса
BDU:2020-02410Уязвимость интерфейса REST API средств управления физической инфраструктурой и виртуальными средами Cisco UCS Director и Cisco UCS Director Express for Big Data связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании с помощью специально созданного запроса
BDU:2020-02408Уязвимость интерфейса REST API средств управления физической инфраструктурой и виртуальными средами Cisco UCS Director и Cisco UCS Director Express for Big Data связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии путем отправки специально созданного запроса
BDU:2020-02406Уязвимость интерфейса REST API средств управления физической инфраструктурой и виртуальными средами Cisco UCS Director и Cisco UCS Director Express for Big Data связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии путем отправки специально созданного вредоносного файла
BDU:2020-02405Уязвимость интерфейса REST API средств управления физической инфраструктурой и виртуальными средами Cisco UCS Director и Cisco UCS Director Express for Big Data связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии путем отправки специально созданного запроса
BDU:2020-02391Уязвимость интерфейса REST API средств управления физической инфраструктурой и виртуальными средами Cisco UCS Director и Cisco UCS Director Express for Big Data связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданного вредоносного файла
BDU:2019-03001Уязвимость веб-интерфейса управления супервизора Cisco Integrated Management Controller (IMC) Supervisor, средства управления физической инфраструктурой и виртуальными средами Cisco UCS Director и Cisco UCS Director Express for Big Data связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить действительный токен сессии с привилегиями администратора в целевой системе посредством отправки серии вредоносных запросов
BDU:2019-03000Уязвимость веб-интерфейса управления супервизора Cisco Integrated Management Controller (IMC) Supervisor, средства управления физической инфраструктурой и виртуальными средами Cisco UCS Director и Cisco UCS Director Express for Big Data связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к целевой системе с привилегиями администратора посредством отправки серии вредоносных запросов
BDU:2019-02999Уязвимость супервизора Cisco Integrated Management Controller (IMC) Supervisor, средства управления физической инфраструктурой и виртуальными средами Cisco UCS Director и Cisco UCS Director Express for Big Data связана с наличием стандартной учетной записи с недокументированным паролем и некорректными настройками прав доступа для этой учетной записи. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ к интерфейсу командной строки в целевой системе с привилегиями администратора
BDU:2019-02998Уязвимость в веб-интерфейсе управления средства управления физической инфраструктурой и виртуальными средами Cisco UCS Director и Cisco UCS Director Express for Big Data связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процедуру аутентификации и выполнить произвольный код с привилегиями администратора с помощью специально сформированного HTTP-запроса
CVE-2014-0709Cisco UCS Director (ранее Cloupia) до 4.0.0.3 имеет жестко заданный пароль для учетной записи root, что упрощает удаленным злоумышленникам получение административного доступа посредством сеанса SSH к интерфейсу CLI, также известной как Bug ID CSCui73930.
CVE-2020-3251Множественные уязвимости в REST API Cisco UCS Director и Cisco UCS Director Express for Big Data могут позволить удаленному злоумышленнику обойти аутентификацию или провести атаки обхода каталогов на затронутом устройстве. Для получения дополнительной информации об этих уязвимостях, см. раздел «Подробности» данного бюллетеня.
CVE-2020-3239Множественные уязвимости в REST API Cisco UCS Director и Cisco UCS Director Express for Big Data могут позволить удаленному злоумышленнику обойти аутентификацию или провести атаки обхода каталогов на затронутом устройстве. Для получения дополнительной информации об этих уязвимостях, см. раздел «Подробности» данного бюллетеня.
CVE-2018-0148Уязвимость в веб-интерфейсе управления Cisco UCS Director Software и Cisco Integrated Management Controller (IMC) Supervisor Software может позволить не прошедшему проверку подлинности удаленному злоумышленнику провести атаку с использованием межсайтовой подделки запросов (CSRF) и выполнить произвольные действия в уязвимой системе. Уязвимость связана с недостаточной защитой CSRF веб-интерфейсом управления уязвимого программного обеспечения. Злоумышленник может воспользоваться этой уязвимостью, убедив пользователя уязвимого интерфейса щелкнуть вредоносную ссылку. Успешная эксплуатация может позволить злоумышленнику выполнять произвольные действия через веб-браузер пользователя и с привилегиями пользователя в уязвимой системе. Cisco Bug IDs: CSCvf71929.