关键信息总结 漏洞概述 漏洞名称: Cisco Integrated Management Controller Virtual Keyboard Video Monitor Shared Cross-Site Scripting Vulnerability CVE编号: CVE-2021-34756 CVSS评分: 4.8 (中等) 发布日期: 2021-09-22 影响的产品 Cisco UCS Director Software Cisco UCS Manager Software Cisco UCS B-Series and C-Series Servers in Direct Managed Mode Cisco UCS E-Series Servers in Direct Managed Mode Cisco UCS C-Series Servers in Standalone Mode or Indirect Managed Mode Cisco UCS G-Series Fabric Interconnects Cisco UCS S-Series Fabric Interconnects 漏洞描述 该漏洞存在于Cisco Integrated Management Controller (IMC) 中的Virtual Keyboard Video Monitor Shared功能。未经身份验证的远程攻击者可以通过向受影响系统发送特制请求来利用此漏洞,导致在用户的Web浏览器中执行任意代码。 工作原理 攻击者可以利用此漏洞在用户的Web浏览器中执行任意代码,从而可能获取敏感信息或进一步控制受影响的设备。 解决方案 Cisco已确认并发布了修复程序,建议用户更新到以下版本以解决此漏洞: - UCS Director Software: 6.7(1c), 6.7(1b), 6.7(1a), 6.7(1) - UCS Manager Software: 4.2(3d), 4.2(3c), 4.2(3b), 4.2(3a), 4.2(3) - UCS B-Series and C-Series Servers in Direct Managed Mode: 4.2(3d), 4.2(3c), 4.2(3b), 4.2(3a), 4.2(3) - UCS E-Series Servers in Direct Managed Mode: 4.2(3d), 4.2(3c), 4.2(3b), 4.2(3a), 4.2(3) - UCS C-Series Servers in Standalone Mode or Indirect Managed Mode: 4.2(3d), 4.2(3c), 4.2(3b), 4.2(3a), 4.2(3) - UCS G-Series Fabric Interconnects: 4.2(3d), 4.2(3c), 4.2(3b), 4.2(3a), 4.2(3) - UCS S-Series Fabric Interconnects: 4.2(3d), 4.2(3c), 4.2(3b), 4.2(3a), 4.2(3) 公开披露和公告 此漏洞是在内部安全测试中发现的,并已在多个公共论坛上进行了讨论。 ``` 这些关键信息提供了关于漏洞的基本情况、影响范围、严重程度以及如何解决该问题的指导。