Cisco HyperFlex HX命令注入漏洞预警

一、基本情况

近日，Cisco发布安全更新公告，披露了Cisco HyperFlex HX基于Web的管理界面中存在两个高危漏洞，相关漏洞CVE编号：CVE-2021-1497、CVE-2021-1498。其中CVE-2021-1497漏洞影响较大，允许未经身份验证的远程攻击者对受影响的设备执行命令注入攻击。Cisco官方建议受影响用户及时将Cisco HyperFlex HX升级至最新版本，做好资产自查以及预防工作，以免遭受黑客攻击。

二、 漏洞等级

高危

三、 漏洞描述

Cisco HyperFlex HX Data Platform是美国思科（Cisco）公司的一个网络设备。提供企业级的敏捷性，可扩展性，安全性和生命周期管理功能。

1. Cisco HyperFlex HX命令注入漏洞（CVE-2021-1497）

该漏洞是由于对用户提供的输入的验证不足而引起的。攻击者通过向基于Web的管理界面发送精心构造的请求，成功利用该漏洞攻击者可使用root用户身份在受影响的设备上执行任意命令。

2. Cisco HyperFlex HX命令注入漏洞（CVE-2021-1498）

该漏洞是由于对用户提供的输入的验证不足而引起的。攻击者通过向基于Web的管理界面发送精心构造的请求，成功利用该漏洞攻击者可使用Tomcat8用户身份在受影响的设备上执行任意命令。

四、 影响范围

Cisco HyperFlex HX <=4.0

Cisco HyperFlex HX 4.5

五、 安全建议

目前Cisco官方已发布新版本进行漏洞修订，建议用户及时进行升级修复。

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-hyperflex-rce-TjjNrkpR

六、 参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-hyperflex-rce-TjjNrkpR