Unified Computing System
Уязвимости
130
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.99999
Распределение по критичности
Критический
6
Высокий
47
Средний
77
Низкий
0
Затронутые диапазоны версий
4.0–4.0\(4k\)4.0–4.0\(4m\)< 4.0\(2a\)< 4.0\(4i\)< 4.0\(4m\)< 4.1\(3e\)≤ 2.1\(3f\)≤ 2.2\(2c\)a
Также сопоставлено как (исходные строки): unified computing system,unified_computing_system,identity_services_engine,keymouse_firmware,x14j_firmware,opensolaris,unified_computing_system_infrastructure_and_unified_computing_system_software,firepower_extensible_operating_system,unified_computing_system_firmware,nx-os,jr6150_firmware,gs1900-10hp_firmware
Топ уязвимостей
CVE-2021-44228В Apache Log4j2 с 2.0-beta9 по 2.15.0 (исключая выпуски безопасности 2.12.2, 2.12.3 и 2.3.1) функции JNDI, используемые в конфигурации, сообщениях журнала и параметрах, не защищают от контролируемых злоумышленником LDAP и других связанных с JNDI конечных точек. Злоумышленник, который может контролировать сообщения журнала или параметры сообщений журнала, может выполнить произвольный код, загруженный с серверов LDAP, когда включена подстановка поиска сообщений. В log4j 2.15.0 это поведение отключено по умолчанию. В версии 2.16.0 (вместе с 2.12.2, 2.12.3 и 2.3.1) эта функция была полностью удалена. Обратите внимание, что эта уязвимость относится к log4j-core и не затрагивает log4net, log4cxx или другие проекты Apache Logging Services.
CVE-2018-0314Уязвимость в компоненте Cisco Fabric Services (CFS) программного обеспечения Cisco FXOS и Cisco NX-OS может позволить не прошедшему проверку подлинности удаленному злоумышленнику выполнить произвольный код на уязвимом устройстве. Уязвимость существует из-за того, что уязвимое программное обеспечение недостаточно проверяет заголовки пакетов Cisco Fabric Services при обработке данных пакетов. Злоумышленник может воспользоваться этой уязвимостью, отправив вредоносный пакет Cisco Fabric Services на уязвимое устройство. Успешная эксплуатация может позволить злоумышленнику вызвать состояние переполнения буфера на устройстве, что может позволить злоумышленнику выполнить произвольный код на устройстве. Эта уязвимость затрагивает следующее, если настроено на использование Cisco Fabric Services: межсетевые экраны нового поколения Firepower серии 4100, устройство безопасности Firepower 9300, многоуровневые коммутаторы серии MDS 9000, расширители коммутационной матрицы Nexus серии 2000, коммутаторы серии Nexus 3000, коммутаторы платформы Nexus 3500, коммутаторы платформы Nexus 5500, коммутаторы платформы Nexus 5600, коммутаторы серии Nexus 6000, коммутаторы серии Nexus 7000, коммутаторы серии Nexus 7700, коммутаторы серии Nexus 9000 в автономном режиме NX-OS, линейные карты и коммутационные модули серии Nexus 9500 R, коммутаторы коммутационной матрицы серии UCS 6100, коммутаторы коммутационной матрицы серии UCS 6200, коммутаторы коммутационной матрицы серии UCS 6300. Идентификаторы ошибок Cisco Bug: CSCvd69943, CSCve02429, CSCve02433, CSCve02435, CSCve02445, CSCve04859.
CVE-2018-0312Уязвимость в компоненте Cisco Fabric Services программного обеспечения Cisco FXOS и программного обеспечения Cisco NX-OS может позволить неаутентифицированному удаленному злоумышленнику выполнить произвольный код или вызвать отказ в обслуживании (DoS) на уязвимом устройстве. Уязвимость существует из-за того, что уязвимое программное обеспечение недостаточно проверяет заголовки пакетов Cisco Fabric Services при обработке данных пакетов. Злоумышленник может воспользоваться этой уязвимостью, отправив вредоносный пакет Cisco Fabric Services на уязвимое устройство. Успешная эксплуатация может позволить злоумышленнику вызвать состояние переполнения буфера на устройстве, что может позволить злоумышленнику выполнить произвольный код или вызвать состояние DoS на устройстве. Эта уязвимость затрагивает следующие компоненты, если они настроены для использования Cisco Fabric Services: межсетевые экраны нового поколения серии Firepower 4100, устройство безопасности Firepower 9300, многоуровневые коммутаторы серии MDS 9000, расширители Fabric серии Nexus 2000, коммутаторы серии Nexus 3000, коммутаторы платформы Nexus 3500, коммутаторы платформы Nexus 5500, коммутаторы платформы Nexus 5600, коммутаторы серии Nexus 6000, коммутаторы серии Nexus 7000, коммутаторы серии Nexus 7700, коммутаторы серии Nexus 9000 в автономном режиме NX-OS, линейные карты и фабричные модули серии Nexus 9500 R, коммутаторы Fabric Interconnect серии UCS 6100, коммутаторы Fabric Interconnect серии UCS 6200, коммутаторы Fabric Interconnect серии UCS 6300. Cisco Bug IDs: CSCvd69962, CSCve02808, CSCve02810, CSCve02812, CSCve02819, CSCve02822, CSCve02831, CSCve04859.
CVE-2018-0308Уязвимость в компоненте Cisco Fabric Services программного обеспечения Cisco FXOS и программного обеспечения Cisco NX-OS может позволить неаутентифицированному удаленному злоумышленнику выполнить произвольный код или вызвать отказ в обслуживании (DoS). Уязвимость существует из-за того, что уязвимое программное обеспечение недостаточно проверяет значения заголовков в пакетах Cisco Fabric Services. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный пакет Cisco Fabric Services на уязвимое устройство. Успешная эксплуатация может позволить злоумышленнику вызвать переполнение буфера, которое позволит злоумышленнику выполнить произвольный код или вызвать состояние DoS. Эта уязвимость затрагивает следующие компоненты, если они настроены для использования Cisco Fabric Services: межсетевые экраны нового поколения серии Firepower 4100, устройство безопасности Firepower 9300, многоуровневые коммутаторы серии MDS 9000, расширители Fabric серии Nexus 2000, коммутаторы серии Nexus 3000, коммутаторы платформы Nexus 3500, коммутаторы платформы Nexus 5500, коммутаторы платформы Nexus 5600, коммутаторы серии Nexus 6000, коммутаторы серии Nexus 7000, коммутаторы серии Nexus 7700, коммутаторы серии Nexus 9000 в автономном режиме NX-OS, линейные карты и фабричные модули серии Nexus 9500 R, коммутаторы Fabric Interconnect серии UCS 6100, коммутаторы Fabric Interconnect серии UCS 6200, коммутаторы Fabric Interconnect серии UCS 6300. Cisco Bug IDs: CSCvd69954, CSCve02463, CSCve02785, CSCve02787, CSCve02804, CSCve04859.
CVE-2018-0304Уязвимость в компоненте Cisco Fabric Services программного обеспечения Cisco FXOS Software и Cisco NX-OS Software может позволить не прошедшему проверку подлинности удаленному злоумышленнику прочитать конфиденциальное содержимое памяти, создать отказ в обслуживании (DoS) или выполнить произвольный код с правами root. Уязвимость существует из-за того, что уязвимое программное обеспечение недостаточно проверяет заголовки пакетов Cisco Fabric Services. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный пакет Cisco Fabric Services на уязвимое устройство. Успешная эксплуатация может позволить злоумышленнику вызвать переполнение буфера или состояние переполнения буфера в компоненте Cisco Fabric Services, что может позволить злоумышленнику прочитать конфиденциальное содержимое памяти, создать состояние DoS или выполнить произвольный код с правами root. Эта уязвимость затрагивает следующее, если настроено на использование Cisco Fabric Services: межсетевые экраны нового поколения серии Firepower 4100, устройство безопасности Firepower 9300, многоуровневые коммутаторы серии MDS 9000, расширители Fabric серии Nexus 2000, коммутаторы серии Nexus 3000, коммутаторы платформы Nexus 3500, коммутаторы платформы Nexus 5500, коммутаторы платформы Nexus 5600, коммутаторы серии Nexus 6000, коммутаторы серии Nexus 7000, коммутаторы серии Nexus 7700, коммутаторы серии Nexus 9000 в автономном режиме NX-OS, линейные карты и fabric-модули серии Nexus 9500 R, коммутаторы Fabric Interconnect серии UCS 6100, коммутаторы Fabric Interconnect серии UCS 6200, коммутаторы Fabric Interconnect серии UCS 6300. Идентификаторы ошибок Cisco: CSCvd69951, CSCve02459, CSCve02461, CSCve02463, CSCve02474, CSCve04859.
CVE-2015-6435Неуказанный CGI-скрипт в Cisco FX-OS до 1.1.2 на устройствах Firepower 9000 и Cisco Unified Computing System (UCS) Manager до 2.2(4b), 2.2(5) до 2.2(5a) и 3.0 до 3.0(2e) позволяет удаленным злоумышленникам выполнять произвольные команды оболочки через специально созданный HTTP-запрос, также известная как Bug ID CSCur90888.
CVE-2021-1368Уязвимость в функции Unidirectional Link Detection (UDLD) Cisco FXOS Software и Cisco NX-OS Software может позволить не прошедшему проверку подлинности смежному злоумышленнику выполнить произвольный код с правами администратора или вызвать отказ в обслуживании (DoS) на уязвимом устройстве. Эта уязвимость связана с недостаточной проверкой входных данных. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданные пакеты протокола Cisco UDLD непосредственно подключенному уязвимому устройству. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код с правами администратора или привести к сбою и перезапуску процесса Cisco UDLD несколько раз, что приведет к перезагрузке уязвимого устройства и отказу в обслуживании (DoS). Примечание: функция UDLD отключена по умолчанию, и условия для эксплуатации этой уязвимости являются строгими. Злоумышленнику требуется полный контроль над непосредственно подключенным устройством. Это устройство должно быть подключено через канал порта с включенной функцией UDLD. Для запуска выполнения произвольного кода должны существовать как канал порта с включенной функцией UDLD, так и определенные системные условия. В отсутствие канала порта с включенной функцией UDLD или системных условий попытки эксплуатации этой уязвимости приведут к отказу в обслуживании (DoS). Возможно, но маловероятно, что злоумышленник сможет контролировать необходимые условия для эксплуатации. Оценка CVSS отражает эту возможность. Однако, учитывая сложность эксплуатации, Cisco присвоила этой уязвимости средний рейтинг воздействия на безопасность (SIR).
CVE-2019-1907Уязвимость в веб-сервере Cisco Integrated Management Controller (IMC) может позволить аутентифицированному удаленному злоумышленнику установить конфиденциальные значения конфигурации и получить повышенные привилегии. Эта уязвимость связана с неправильной обработкой операций сравнения подстрок, выполняемых уязвимым программным обеспечением. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный HTTP-запрос уязвимому программному обеспечению. Успешная эксплуатация может позволить злоумышленнику с правами только для чтения получить права администратора.
CVE-2019-1865Уязвимость в веб-интерфейсе управления программного обеспечения Cisco Integrated Management Controller (IMC) может позволить аутентифицированному удаленному злоумышленнику внедрить произвольные команды, которые выполняются с правами root на уязвимом устройстве. Уязвимость связана с недостаточной проверкой введенных пользователем данных уязвимым программным обеспечением. Злоумышленник может воспользоваться этой уязвимостью, вызвав механизм мониторинга интерфейса со специально разработанным аргументом в уязвимом программном обеспечении. Успешная эксплуатация может позволить злоумышленнику внедрить и выполнить произвольные команды системного уровня с правами root на уязвимом устройстве.
CVE-2019-1864Уязвимость в веб-интерфейсе управления программного обеспечения Cisco Integrated Management Controller (IMC) может позволить аутентифицированному удаленному злоумышленнику внедрить произвольные команды, которые выполняются с правами root на уязвимом устройстве. Уязвимость связана с недостаточной проверкой ввода команд уязвимым программным обеспечением. Злоумышленник может воспользоваться этой уязвимостью, отправив вредоносные команды в веб-интерфейс управления уязвимого программного обеспечения. Успешная эксплуатация может позволить злоумышленнику с правами только на чтение внедрять и выполнять произвольные команды системного уровня с правами root на уязвимом устройстве.
CVE-2018-0431Уязвимость в веб-интерфейсе управления Cisco Integrated Management Controller (IMC) Software может позволить аутентифицированному удаленному злоумышленнику внедрять и выполнять произвольные команды с правами root на уязвимом устройстве. Уязвимость связана с недостаточной проверкой ввода команд затронутым программным обеспечением. Злоумышленник может использовать эту уязвимость, отправляя специально созданные команды в веб-интерфейс управления затронутого программного обеспечения. Успешная эксплуатация может позволить злоумышленнику внедрять и выполнять произвольные команды системного уровня с правами root на уязвимом устройстве.
CVE-2018-0430Уязвимость в веб-интерфейсе управления Cisco Integrated Management Controller (IMC) Software может позволить аутентифицированному удаленному злоумышленнику внедрять и выполнять произвольные команды с правами root на уязвимом устройстве. Уязвимость связана с недостаточной проверкой ввода команд затронутым программным обеспечением. Злоумышленник может использовать эту уязвимость, отправляя специально созданные команды в веб-интерфейс управления затронутого программного обеспечения. Успешная эксплуатация может позволить злоумышленнику внедрять и выполнять произвольные команды системного уровня с правами root на уязвимом устройстве.
BDU:2025-08247Уязвимость реализации протокола SSH унифицированной системы управления Cisco Unified Computing System серверов Cisco UCS B-Series, Managed C-Series и X-Series связана с недостаточным ограничением канала связи для заданных конечных точек. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
BDU:2019-03039Уязвимость веб-интерфейса управления программного средства удалённого администрирования серверов Cisco Integrated Management Controller существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды с привилегиями root
BDU:2019-03038Уязвимость веб-интерфейса управления программного средства удалённого администрирования серверов Cisco Integrated Management Controller существует из-за недостаточной проверки входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды с привилегиями root
BDU:2019-03037Уязвимость веб-сервера программного средства удалённого администрирования серверов Cisco Integrated Management Controller связана с ошибками при обработке операций сравнения подстрок. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии с помощью специально созданного HTTP-запроса
CVE-2021-1387Уязвимость в сетевом стеке программного обеспечения Cisco NX-OS может позволить не прошедшему проверку подлинности удаленному злоумышленнику вызвать состояние отказа в обслуживании (DoS) на уязвимом устройстве. Эта уязвимость существует из-за того, что программное обеспечение неправильно освобождает ресурсы при обработке определенных пакетов IPv6, предназначенных для уязвимого устройства. Злоумышленник может воспользоваться этой уязвимостью, отправив несколько специально созданных пакетов IPv6 на уязвимое устройство. Успешная эксплуатация может привести к тому, что в сетевом стеке закончится доступная буферная память, что ухудшит работу протоколов плоскости управления и плоскости управления и приведет к состоянию DoS. Для восстановления нормальной работы на уязвимом устройстве потребуется ручное вмешательство. Дополнительные сведения о последствиях этой уязвимости см. в разделе «Подробности» данного бюллетеня.
CVE-2018-0305Уязвимость в компоненте Cisco Fabric Services программного обеспечения Cisco FXOS Software и Cisco NX-OS Software может позволить не прошедшему проверку подлинности удаленному злоумышленнику вызвать отказ в обслуживании (DoS) на уязвимом устройстве. Уязвимость существует из-за того, что уязвимое программное обеспечение недостаточно проверяет пакеты Cisco Fabric Services. Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный пакет Cisco Fabric Services на уязвимое устройство. Успешная эксплуатация может позволить злоумышленнику вызвать разыменование нулевого указателя и вызвать состояние DoS. Эта уязвимость затрагивает следующее, если настроено на использование Cisco Fabric Services: межсетевые экраны нового поколения серии Firepower 4100, устройство безопасности Firepower 9300, многоуровневые коммутаторы серии MDS 9000, расширители Fabric серии Nexus 2000, коммутаторы серии Nexus 3000, коммутаторы платформы Nexus 3500, коммутаторы платформы Nexus 5500, коммутаторы платформы Nexus 5600, коммутаторы серии Nexus 6000, коммутаторы серии Nexus 7000, коммутаторы серии Nexus 7700, коммутаторы серии Nexus 9000 в автономном режиме NX-OS, линейные карты и fabric-модули серии Nexus 9500 R, коммутаторы Fabric Interconnect серии UCS 6100, коммутаторы Fabric Interconnect серии UCS 6200, коммутаторы Fabric Interconnect серии UCS 6300. Идентификаторы ошибок Cisco: CSCvd69966, CSCve02435, CSCve04859, CSCve41590, CSCve41593, CSCve41601.
CVE-2012-4078Baseboard Management Controller (BMC) в Cisco Unified Computing System (UCS) неправильно обрабатывает escape-последовательности SSH, что позволяет удаленным аутентифицированным пользователям обходить неуказанный шаг аутентификации через перенаправление портов SSH, также известную как ошибка ID CSCtg17656.
CVE-2019-1863Уязвимость в веб-интерфейсе управления программного обеспечения Cisco Integrated Management Controller (IMC) может позволить аутентифицированному удаленному злоумышленнику вносить несанкционированные изменения в конфигурацию системы. Уязвимость связана с недостаточным принудительным применением авторизации. Злоумышленник может воспользоваться этой уязвимостью, отправив специально разработанный HTTP-запрос в уязвимое программное обеспечение. Успешная эксплуатация может позволить пользователю с правами только на чтение изменять критические конфигурации системы с использованием прав администратора.
CVE-2019-1632Уязвимость в веб-интерфейсе управления Cisco Integrated Management Controller (IMC) может позволить аутентифицированному удаленному злоумышленнику провести атаку с подделкой межсайтовых запросов (CSRF) и выполнить произвольные действия на затронутом устройстве. Уязвимость возникает из-за недостаточной защиты CSRF для веб-интерфейса управления затронутого устройства. Злоумышленник может воспользоваться этой уязвимостью, убедив пользователя перейти по вредоносной ссылке. Успешная эксплуатация может позволить злоумышленнику использовать веб-браузер и привилегии пользователя для выполнения произвольных действий на затронутом устройстве.
CVE-2019-1966Уязвимость в определенной команде CLI в контексте локального управления (local-mgmt) для Cisco UCS Fabric Interconnect Software может позволить аутентифицированному локальному злоумышленнику получить повышенные привилегии в качестве пользователя root на уязвимом устройстве. Уязвимость связана с посторонними параметрами подкоманды, присутствующими для определенной команды CLI в контексте local-mgmt. Злоумышленник может воспользоваться этой уязвимостью, пройдя аутентификацию на уязвимом устройстве, войдя в контекст local-mgmt и выполнив определенную команду CLI и отправив вводимые пользователем данные. Успешная эксплуатация может позволить злоумышленнику выполнять произвольные команды операционной системы от имени root на уязвимом устройстве. Злоумышленнику потребуются действительные учетные данные пользователя для устройства.
CVE-2019-1883Уязвимость в интерфейсе командной строки Cisco Integrated Management Controller (IMC) может позволить прошедшему проверку подлинности локальному злоумышленнику с учетными данными только для чтения внедрить произвольные команды, которые могут позволить им получить права root. Уязвимость связана с недостаточной проверкой вводимых пользователем данных в интерфейсе командной строки. Злоумышленник может воспользоваться этой уязвимостью, пройдя аутентификацию с правами только для чтения через CLI уязвимого устройства и отправив специально созданные входные данные в затронутые команды. Успешная эксплуатация может позволить злоумышленнику выполнять произвольные команды на устройстве с правами root.
CVE-2018-0338Уязвимость в механизмах проверки доступа на основе ролей программного обеспечения Cisco Unified Computing System (UCS) может позволить аутентифицированному локальному злоумышленнику выполнять произвольные команды в уязвимой системе. Уязвимость существует из-за того, что в уязвимом программном обеспечении отсутствуют надлежащие проверки ввода и проверки для определенных файловых систем. Злоумышленник может воспользоваться этой уязвимостью, выполнив специально созданные команды в CLI уязвимой системы. Успешная эксплуатация может позволить злоумышленнику заставить других пользователей выполнять нежелательные произвольные команды в уязвимой системе. Cisco Bug IDs: CSCvf52994.
CVE-2017-6600Уязвимость в CLI Cisco Unified Computing System (UCS) Manager, Cisco Firepower 4100 Series Next-Generation Firewall (NGFW) и Cisco Firepower 9300 Security Appliance может позволить аутентифицированному локальному злоумышленнику выполнить атаку с внедрением команд. Дополнительная информация: CSCvb61351 CSCvb61637. Известные уязвимые выпуски: 2.0(1.68) 3.1(1k)A. Известные исправленные выпуски: 92.2(1.101) 92.1(1.1645) 2.0(1.82) 1.1(4.136.