このウェブページのスクリーンショットから、脆弱性に関する以下の重要情報を取得できます。 1. 脆弱性情報: - 脆弱性名称: Cisco Application Policy Infrastructure Controller Privilege Escalation Vulnerability - 脆弱性ID: cisco-sa-capic-priv-esc-uYQJnuU - CVE番号: CVE-2024-20478 - CWE番号: CWE-250 - CVSSスコア: Base 6.5 2. 影響を受ける製品: - Cisco Application Policy Infrastructure Controller (APIC) および Cisco Cloud Network Controller - バージョン: 5.3、6.0、6.1 3. 脆弱性の影響: - 脆弱性説明: 管理者権限を持つリモート攻撃者が改ざんされたソフトウェアイメージをインストールし、任意のコード注入を可能にします。 - 脆弱性の原因: ソフトウェアアップグレードコンポーネントでの署名検証の不十分さ。 - 緩和策: Cisco製品のセキュリティ注意報を定期的に確認し、曝露状況を確認するとともに、完全なアップグレード解決策を取得することを推奨します。 4. 影響を受けるソフトウェアバージョン: - 影響バージョン: 5.3、6.0、6.1 - 修正バージョン: 5.3(2d)、6.0(6c) 5. 影響を受ける製品の状態: - Cisco Cloud Network Controller: ライフサイクル終了(EOL)を迎えており、ソフトウェア更新は提供されません。 6. セキュリティポリシー: - Ciscoセキュリティ脆弱性開示ポリシーおよびセキュリティ通知購読のリンクが提供されています。 7. 出典: - イタリア国家サイバーセキュリティ機関(ACN)のSara Veterini、Gianluca Roascio、Giacomo Gloriaによる本脆弱性の発見と報告に感謝します。 8. 改訂履歴: - バージョン1.0:初回公開、最終版としてステータス確定。 9. 免責事項: - 文書は「現状有姿」で提供され、商品性および特定目的への適合性を含むがこれらに限定されない、あらゆる保証や担保は提供されません。 これらの情報により、ユーザーは脆弱性の詳細、影響を受ける製品およびバージョン、緩和策、関連するセキュリティポリシーを理解することができます。