思科SD-WAN vManage和HyperFlex软件出现严重缺陷

大型网络设备Cisco已推出软件更新，以解决影响HyperFlex HX和SD-WAN vManage软件的多个关键漏洞，这些漏洞可能允许攻击者执行命令注入攻击、执行任意代码并获取敏感信息。

在5月5日发布的一系列建议中，该公司表示没有解决这些问题的变通办法。

HyperFlex HX命令注入漏洞被追踪为CVE-2021-1497和CVE-2021-1498（CVSS得分9.8），影响所有运行HyperFlex HX软件版本4.0、4.5和4.0之前版本的Cisco设备。由于未充分验证Cisco HyperFlex HX数据平台基于web的管理界面中用户提供的输入，这些漏洞可能会使未经验证的远程攻击者对易受攻击的设备执行命令注入攻击。

“攻击者可以通过向基于web的管理界面发送精心编制的请求，利用此漏洞进行攻击，”该公司在其警报中说。“成功利用此漏洞可使攻击者以root用户或tomcat8用户的身份执行任意命令”。

Cisco还解决了影响SD-WAN vManage软件（CVE-2021-1275、CVE-2021-1468、CVE-2021-1505、CVE-2021-1506和CVE-2021-1508）的五个故障，这些故障可能会允许未经身份验证的远程攻击者执行任意代码或访问敏感信息，或允许经过身份验证的攻击者，本地攻击者获得升级权限或未经授权访问应用程序。

Positive Technologies的尼基塔·阿布拉莫夫（Nikita Abramov）和米哈伊尔·克柳什尼科夫（Mikhail Klyuchnikov）报告了HyperFlex HX漏洞，而SD-WAN vManage中的四个漏洞是在内部安全测试期间发现的，CVE-2021-1275是在解决思科技术援助中心（TAC）支持案例期间发现的。

虽然没有证据表明这些漏洞在野外被恶意使用，但建议用户升级到最新版本，以降低与这些漏洞相关的风险。

VMware修复了关键的vRealize Business for Cloud Bug

不仅仅是思科。VMware周三发布了修补程序，以修复vRealize Business for Cloud 7.6中的一个严重漏洞，该漏洞使未经验证的攻击者能够在易受攻击的服务器上远程执行恶意代码。

远程代码执行缺陷（CVE-2021-21984，CVSS分数：9.8）源自未经授权的VAMI端点，导致可能导致具有网络访问权限的对手在设备上运行未经授权的代码。受影响的客户可以通过安装安全补丁ISO文件来纠正问题。

Vmware将报告该漏洞归功于积极技术公司的Egor Dimitrenko。