思科NFVIS基础设施软件爆出重大漏洞，已有PoC利用代码

思科已经修补了一个影响其企业网络功能虚拟化基础设施软件 (NFVIS) 的关键安全漏洞，攻击者可以利用该漏洞来控制受影响的系统。

该漏洞被追踪为CVE-2021-34746，在通用漏洞评分系统 (CVSS) 中的评分为 9.8（满分 10 分），可能允许远程攻击者绕过身份验证并以管理员身份登录易受攻击的设备。

这家网络设备制造商表示，它知道针对该漏洞的公开可用的概念验证 (PoC) 漏洞利用代码，但补充说它没有检测到任何成功的在野武器化利用。

该问题是由于对在登录过程中传递给身份验证脚本的用户提供的输入的验证不完整造成的，从而使攻击者能够将参数注入身份验证请求中。该公司在一份公告中表示： “成功的利用可能允许攻击者绕过身份验证并以管理员身份登录受影响的设备。”

值得指出的是，只有在目标设备上配置了 TACACS 外部身份验证方法，企业 NFVIS 部署才会受到此漏洞的影响，这可以通过运行“show running-config tacacs-server”命令来确定。“如果 show running-config tacacs-server 命令的输出是未找到条目，则未启用 TACACS 外部身份验证功能，”该公司指出。

在思科推出更新以解决影响其 Nexus 9000 系列交换机中使用的应用策略基础设施控制器 (APIC) 接口的关键安全漏洞 ( CVE-2021-1577 )后，补丁发布一周多一点，该漏洞可能被滥用阅读或在易受攻击的系统上写入任意文件。

该公司还在准备修复其自适应安全设备管理器 (ADSM) 启动器中的零日漏洞 ( CVE-2021-1585 )，该漏洞可能允许未经身份验证的远程攻击者在用户操作系统上执行任意代码.