【安全资讯】Cisco Nexus Dashboard Fabric Controller暴露于远程代码执行漏洞

概要：

Cisco公司发布了一则重要的安全公告，关注其Nexus Dashboard Fabric Controller中的一个严重漏洞（CVE-2024-20432）。该漏洞被评为CVSS 9.9分，非常具有危害性，可能允许低权限的身份验证的远程攻击者在被管理设备上执行任意命令，威胁整个网络架构的安全。

主要内容：

CVE-2024-20432漏洞存在于Cisco NDFC的REST API与Web用户界面中，源自用户授权的不当处理与命令参数验证不足。攻击者可利用有效凭证向受影响的REST API端点或通过Web UI提交精心设计的命令，从而在受管理设备的命令行接口CLI上执行任意命令。这种成功的利用可能会让攻击者有能力攻破网络结构的完整性。

此漏洞影响使用统一版本发布的Cisco Nexus Dashboard Fabric Controller，但不影响配置为存储区域网络（SAN）控制器的Cisco NDFC。自Nexus Dashboard 3.1(1k)版本以来，Cisco已发布软件更新以修复此关键漏洞，且当前没有可用的绕行建议。管理员需要立即采取行动应用补丁，以防止可能的攻击窗口。据Cisco的产品安全事件响应团队的报告，目前尚无漏洞被公开利用的情况报道。

尽管如此，由于漏洞的严重性，在补丁应用前，网络仍然面临潜在攻击的风险。这一事件突显了及时更新与管理关键基础设施软件版本的重要性，协助网络安全防护。