Cisco Nexus Dashboard SSRF 漏洞总结 漏洞概述 漏洞名称: Cisco Nexus Dashboard and Nexus Dashboard Insights Server-Side Request Forgery Vulnerability (Cisco Nexus Dashboard 和 Nexus Dashboard Insights 服务器端请求伪造漏洞) 漏洞类型: 服务器端请求伪造 (SSRF) 严重程度: Medium (中等) CVSS Score: Base 5.1 描述: 该漏洞是由于特定 HTTP 请求的输入验证不当导致的。攻击者可以通过诱骗经过身份验证的用户点击恶意链接,利用该漏洞从受影响的设备向攻击者控制的服务器发送任意网络请求。成功的利用可能导致攻击者执行任意脚本代码或访问敏感的浏览器信息。 变通方法: 无 (No workarounds available) 影响范围 受影响的设备包括运行受影响版本的 Cisco Nexus Dashboard 或 Nexus Dashboard Insights 的设备(无论设备配置如何)。 受影响产品: Cisco Nexus Dashboard Insights Release: 6.5 及更早版本 (6.5 and earlier) Cisco Nexus Dashboard Release: 3.2 及更早版本 (3.2 and earlier) Cisco Nexus Dashboard Release: 4.1 (需迁移至修复版本) 不受影响产品 (Confirmed Not Vulnerable): Nexus Dashboard Fabric Controller (NDFC) Nexus Dashboard Orchestrator (NDO) 修复方案 Cisco 强烈建议客户升级到公告中指定的修复软件版本。 Cisco Nexus Dashboard Insights Release: 迁移到修复后的 Nexus Dashboard 版本 (Migrate to a fixed Nexus Dashboard release)。 Cisco Nexus Dashboard Release: 3.2 及更早版本:迁移到修复后的版本 (Migrate to a fixed release)。 4.1:迁移到修复后的版本 (Migrate to a fixed release)。 4.2:不受影响 (Not vulnerable)。 注意: 从 Nexus Dashboard Release 3.1(1k) 开始,统一软件映像包含 Nexus Dashboard Insights。Nexus Dashboard Insights 6.4 及更高版本仅作为 Nexus Dashboard 的一部分提供。升级到修复后的 Nexus Dashboard 映像也会将 Nexus Dashboard Insights 升级到修复版本。 POC/利用代码 页面中未包含具体的 POC 或利用代码。