思科为影响其产品的关键缺陷发布安全补丁

Cisco已解决了其以应用程序为中心的基础设施（ACI）多站点协调器（MSO）中的一个最大严重性漏洞，该漏洞可能允许未经身份验证的远程攻击者绕过易受攻击设备上的身份验证。

“攻击者可以通过向受影响的API发送精心编制的请求，利用此漏洞进行攻击，”该公司在昨天发布的一份公告中说。“成功利用此漏洞可使攻击者接收具有管理员级别权限的令牌，该令牌可用于在受影响的MSO和受管理的Cisco Application Policy Infrastructure Controller（APIC）设备上对API进行身份验证。”

该漏洞被追踪为CVE-2021-1388，在CVSS漏洞评分系统中排名10（满分10），源于安装了应用程序服务引擎的Cisco ACI MSO的API端点中的不正确令牌验证。它会影响运行3.0版本软件的ACI MSO版本。

ACI多站点Orchestrator允许客户跨基于Cisco APIC的设备监控和管理应用程序访问网络策略。

此外，该公司还修补了Cisco Application Services Engine（CVE-2021-1393和CVE-2021-1396，CVSS分数9.8）中的多个漏洞，这些漏洞可能会让远程攻击者访问特权服务或特定API，从而产生运行容器或调用主机级操作的能力，并了解“特定于设备的信息，在一个隔离卷中创建技术支持文件，并进行有限的配置更改。”

思科指出，这两个缺陷都是由于数据网络中运行的API的访问控制不足造成的。

这位网络专业的学生说，上述三个漏洞是在内部安全测试中发现的，但补充说，他们没有发现恶意企图利用这些漏洞进行攻击。

最后，Cisco修复了一个漏洞（CVE-2021-1361，CVSS评分9.8），该漏洞用于为运行NX-OS的Cisco Nexus 3000系列交换机和Cisco Nexus 9000系列交换机提供内部文件管理服务，该公司的网络操作系统用于其Nexus品牌的以太网交换机。

该公司警告称，这可能会允许一个坏角色在设备上以root权限创建、删除或覆盖任意文件，包括允许攻击者在设备管理员不知情的情况下添加用户帐户。

Cisco表示，运行Cisco NX-OS软件9.3（5）版或9.3（6）版的Nexus 3000和Nexus 9000交换机在默认情况下易受攻击。

“之所以存在此漏洞，是因为TCP端口9075被错误地配置为侦听和响应外部连接请求，”Cisco在对手中概述。“攻击者可以通过向TCP端口9075上本地接口上配置的IP地址发送精心编制的TCP数据包来攻击此漏洞。”

几周前，思科纠正了其小型企业路由器中多达44个漏洞，这些漏洞可能允许未经验证的远程攻击者以根用户身份执行任意代码，甚至造成拒绝服务情况。