【漏洞修复】Cisco IOS XE软件Web UI权限提升漏洞及修复方法

关于Cisco IOS XE软件Web UI权限提升漏洞及修复方法

文章目录

漏洞基本信息

Cisco IOS XE Unauthenticatd Remote Command Execution (CVE-2023-20198) (Direct Check)
Severity:Critical

Vulnerability Priority Rating (VPR): 10.0

Risk Factor: Critical

CVSS v3.0 Base Score 10.0

漏洞影响范围

运行Cisco IOS XE软件版本16.x及更高版本的产品才会受到影响。 Nexus产品、ACI、传统IOS设备、IOS XR、防火墙(ASA/FTD)和ISE不受该漏洞影响。

确认设备是否受影响

bash 复制代码
show version

如果查看设备信息,设备软件版本为:Cisco IOS XE

Catalyst L3 Switch Software (CAT9K_IOSXE)

bash 复制代码
Switch Ports Model              SW Version        SW Image              Mode   
------ ----- -----              ----------        ----------            ----   
*    1 40    C9300-24T          16.9.4            CAT9K_IOSXE           INSTALL
     2 40    C9300-24T          16.9.4            CAT9K_IOSXE           INSTALL

漏洞修复方法

  1. 禁用设备的http服务
bash 复制代码
no ip http server
  1. 如果设备上仍然需要http服务,漏洞修复请使用如下指令
bash 复制代码
ip http active-session-modules none
ip http secure-active-session-modules none
  1. Cisco 9800 WLC修复漏洞方法
    无线控制器需要使用Web GUI,Web-Authentication,如果还有使用自签名的证书等,就无法禁用HTTP服务,只能通过ACL来限制对C9800 WLC Web服务器的访问,仅允许受信任子网/地址的访问。

在本次的修复案例中,我们采用第二个方法对Cisco 9300进行了修复,修复后,重新进行漏洞扫描,Cisco IOS XE Web UI权限提升漏洞修复完成。

推荐阅读

相关推荐
GLAB-Mary42 分钟前
OSPF虚拟链路术语一览:快速掌握网络路由
网络·智能路由器
tan77º1 小时前
【Linux网络编程】网络基础
linux·服务器·网络
bing_1582 小时前
MQTT 和 HTTP 有什么本质区别?
网络·网络协议·http
杨浦老苏4 小时前
Docker端口映射查看工具Dockpeek
网络·docker·群晖
未来之窗软件服务4 小时前
通过网页调用身份证阅读器http websocket方法-华视电子————仙盟创梦IDE
网络·网络协议·http·仙盟创梦ide·东方仙盟·硬件接入
创小匠5 小时前
创客匠人解析创始人 IP 定位:从专业度到用户心智的占领之道
网络·网络协议·tcp/ip
车载测试工程师5 小时前
车载以太网网络测试-29【SOME/IP-SD】-SD状态机
网络·网络协议·tcp/ip·车载系统·php
高兴达6 小时前
RPC--自定义注解注册发布服务
网络·网络协议·rpc
lang201509287 小时前
Reactor ConnectableFlux支持多订阅者
java·网络
在下Z.7 小时前
利用TCP协议,创建一个多人聊天室
网络·网络协议·tcp/ip