思科產品遠端程式碼執行漏洞
最後更新
2014年07月14日
發佈日期:
2014年07月11日
1107
觀看次數
風險: 中度風險
類型: 操作系統 - Network
在思科產品內的 Apache Struts 2 元件發現漏洞。
此漏洞是由於在 XWorks 元件內對用戶提供的輸入檢查不足而導致。該元件使用 ParameterInterceptors 指令,來剖析透過白名單功能實行的 Object-Graph Navigation Language (OGNL) 表達式。通過對受影響的系統發送包含 OGNL 表達式的請求,攻擊者可執行任意程式碼。
影響
- 遠端執行程式碼
- 繞過保安限制
受影響之系統或技術
- 思科 Business Edition 3000 系列
- 思科 Identity Services Engine (ISE)
- 思科 Media Experience Engine (MXE) 3500 系列
- 思科 Unified Contact Center Enterprise (Cisco Unified CCE)
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- 安裝供應商的軟件更新或聯絡保養供應商。
漏洞識別碼
資料來源
相關連結
分享至