概要
Cisco Catalyst SD-WAN Manager の DCA(Data Collection Agent)機能 に おいて、資格情報 ファイル が システム上 に 存在 し、認証 なし の HTTP リクエスト で 取得 可能 な 脆弱性 が 存在 します。CWE-257(パスワードの復元可能な形式での保存)に 分類 されます。
この 脆弱性 に より、リモート の 攻撃者 が 認証 を 経ず に 資格情報 を 取得 し、SD-WAN 管理 インフラ へ の 不正 アクセス に 利用 する 可能性 が あります。DCA 機能 を 有効 に して いる 環境 で は 速やか な 対応 が 必要 です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.5 (High) |
| CWE | CWE-257(パスワードの復元可能な形式での保存) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な権限 | 不要 |
| ユーザー操作 | 不要 |
影響を受けるソフトウェア
- Cisco Catalyst SD-WAN Manager(リリース 20.18 未満)
修正バージョンと回避策
- 修正バージョン: Cisco Catalyst SD-WAN Manager リリース 20.18 以降
- 暫定回避策: DCA 機能 を 使用 して いない 場合 は 無効化 を 検討。ネットワーク レベル で 管理 ポート へ の アクセス を 制限
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。