漏洞概述
Cisco Intersight Virtual Appliance 的只读维护 Shell 中存在一个权限提升漏洞。经过身份验证且具有管理员权限的本地攻击者可利用该漏洞,将自身权限提升至 root,从而完全控制虚拟设备,可能导致敏感信息泄露、系统配置篡改或拒绝服务(DoS)。
漏洞详情
- CVE 编号:CVE-2026-20092
- 漏洞类型:权限提升(CWE-732:不正确的文件权限)
- CVSS 评分:6.0(中危)
向量:CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N - 影响版本:Cisco Intersight Virtual Appliance(具体受影响版本请参考厂商公告)
影响范围
该漏洞影响 Cisco Intersight Virtual Appliance 的维护 Shell 功能模块,仅当攻击者已具备本地管理员权限并能访问只读维护 Shell 时才可被利用。
风险分析
成功利用此漏洞的攻击者可将权限从只读管理员提升至 root,获得对虚拟设备的完全控制权。这可能导致敏感数据泄露、工作负载和系统配置被恶意修改,甚至引发拒绝服务(DoS)状况,严重影响系统的完整性与机密性。
修复建议
- 建议用户及时关注并应用 Cisco 官方发布的安全更新或补丁。
- 在官方修复方案发布前,应严格限制对维护 Shell 的访问权限,仅授权必要人员操作,并监控异常行为。
