一、 漏洞 CVE-2024-20478 基础信息
漏洞标题
思科应用策略基础设施控制器应用权限提升漏洞
来源:AIGC 神龙大模型
漏洞描述信息
Cisco 应用策略基础设施控制器(APIC)和Cisco 云网络控制器(原Cisco 云APIC)的软件升级组件中存在一个漏洞,允许具有管理员级别的认证远程攻击者安装修改后的软件映像,从而导致受影响系统上的任意代码注入。 此漏洞源于对软件映像的签名验证不足。攻击者可以通过安装修改后的软件映像来利用此漏洞。成功的利用可能会使攻击者在受影响系统上执行任意代码,并提升其权限到root。 注意:管理员在将升级映像上传到Cisco APIC和Cisco 云网络控制器之前,始终应验证哈希值。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
密码学签名的验证不恰当
来源:AIGC 神龙大模型
漏洞标题
Cisco Application Policy Infrastructure Controller App Privilege Escalation Vulnerability
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability in the software upgrade component of Cisco Application Policy Infrastructure Controller (APIC) and Cisco Cloud Network Controller, formerly Cisco Cloud APIC, could allow an authenticated, remote attacker with Administrator-level privileges to install a modified software image, leading to arbitrary code injection on an affected system. This vulnerability is due to insufficient signature validation of software images. An attacker could exploit this vulnerability by installing a modified software image. A successful exploit could allow the attacker to execute arbitrary code on the affected system and elevate their privileges to root. Note: Administrators should always validate the hash of any upgrade image before uploading it to Cisco APIC and Cisco Cloud Network Controller.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
带着不必要的权限执行
来源:美国国家漏洞数据库 NVD
漏洞标题
Cisco Application Policy Infrastructure Controller 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Cisco Application Policy Infrastructure Controller(APIC)是美国思科(Cisco)公司的一款自动化的基础架构部署和治理解决方案。 Cisco Application Policy Infrastructure Controller存在安全漏洞,该漏洞源于对签名验证不足。攻击者利用该漏洞在受影响的系统上执行任意代码并将其权限提升到root。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-20478 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-20478 的情报信息