Cisco’nun SD-WAN vManage yazılımındaki kritik bir güvenlik açığı, uzak, kimliği doğrulanmamış bir saldırganın okuma ve sınırlı yazma izinleri kazanmasına ve verilere erişmesine izin verebilir.
Şirket, hatanın CVSS güvenlik açığı-önem ölçeğinde 10 üzerinden 9,1 puan taşıdığını ve bir bindirme ağında çalışan Cisco cihazlarını izlemek ve yapılandırmak için kullanılan vManage API’sinde bulunduğunu açıkladı.
“Bu güvenlik açığı, REST API özelliği kullanılırken yetersiz istek doğrulamasından kaynaklanmaktadır.” Cisco’nun 12 Temmuz tarihli danışma belgesine göre. “Bir saldırgan, etkilenen bir vManage örneğine hazırlanmış bir API isteği göndererek bu güvenlik açığından yararlanabilir.”
Cisco bir düzeltme yayınladı ve etkilenen müşteriler yamayı mümkün olan en kısa sürede uygulamalıdır.
Geçen ay Cisco, uzaktan çalışanların bir sanal özel ağa (VPN) bağlanmasını sağlayan AnyConnect Güvenli Mobilite İstemci Yazılımında bir kusur için yama yayınladı.