严重性: 中等
类型: 漏洞
CVE编号: CVE-2026-20092
Cisco Intersight虚拟设备的只读维护Shell中存在一个漏洞,可能允许具有管理员权限的已认证本地攻击者将虚拟设备上的权限提升至root。
该漏洞是由于虚拟设备维护Shell中系统账户配置文件的文件权限设置不当造成的。攻击者可以通过以只读管理员身份访问维护Shell并操纵系统文件来授予root权限,从而利用此漏洞。成功利用此漏洞可使攻击者将其在虚拟设备上的权限提升至root,并完全控制该设备,从而能够访问敏感信息、修改主机系统上的工作负载和配置,并导致拒绝服务(DoS)。
技术摘要
CVE-2026-20092是Cisco Intersight虚拟设备(特别是版本1.1.4-0)中发现的一个漏洞,涉及设备只读维护Shell内关键系统配置文件的权限分配错误。维护Shell本应为管理任务提供有限的只读访问权限;然而,由于文件权限不当,具有管理员权限的已认证本地攻击者可以利用这一缺陷将其权限提升至root。该漏洞的产生是因为系统账户的配置文件未得到适当保护,允许本应只有只读访问权限的用户进行修改。通过操纵这些文件,攻击者可以获得对虚拟设备的root级控制权。该虚拟设备是用于监控和配置Cisco基础设施的关键管理平台。这种提升的访问权限使攻击者能够访问敏感信息、更改工作负载和系统配置,并可能通过拒绝服务攻击破坏服务。该漏洞的CVSS v3.1基础评分为6.0,属于中等严重性,攻击向量为本地,攻击复杂度低,所需权限高,无需用户交互,范围不变,对机密性和完整性影响高,对可用性无影响。截至目前,尚无公开的利用代码被报告,但鉴于该漏洞的性质,在授予多个用户管理访问权限的环境中,它构成了重大风险。该漏洞于2026年1月21日发布,并于2025年10月8日预留。Cisco在提供的数据中未提供补丁链接,因此各组织必须关注Cisco的安全公告以获取更新。
潜在影响
对于欧洲组织而言,此漏洞对其Cisco基础设施管理环境的安全性和完整性构成了重大风险。使用Cisco Intersight虚拟设备1.1.4-0版本的组织,如果具有管理访问权限的攻击者利用此漏洞获得root权限,其管理平台可能遭到破坏。这可能导致敏感配置数据未经授权泄露、工作负载被操纵以及关键网络管理功能中断。拒绝服务的可能性可能影响运营连续性,特别是在依赖Cisco管理工具来维持基础设施稳定性的行业,如电信、金融、医疗保健和政府。本地认证访问的要求限制了攻击面,但并未消除风险,尤其是在拥有多名管理员或存在内部威胁的环境中。对机密性和完整性的影响较高,如果攻击者利用该设备作为跳板,可能导致更广泛的网络入侵。考虑到Cisco Intersight在管理网络设备和虚拟化环境中的关键作用,利用该漏洞可能对欧洲各地的企业IT运营产生连锁影响。
缓解建议
欧洲组织应立即核实其是否正在运行Cisco Intersight虚拟设备版本1.1.4-0,并将维护Shell的访问权限限制为仅最可信的管理员。对管理帐户实施严格的访问控制和监控,以检测任何未经授权的权限提升。对管理访问采用多因素身份验证,以降低凭据泄露的风险。定期审计维护Shell环境中的文件权限,确保其符合Cisco的安全指南。关注Cisco的官方安全公告,获取解决此漏洞的补丁或更新,并尽快应用。考虑隔离虚拟设备管理网段以限制本地访问途径。此外,开展内部安全意识培训,强调权限提升的风险以及保护管理凭据的重要性。实施日志记录和警报机制,以检测设备内的异常活动,例如意外的文件修改或Shell访问尝试。最后,评估在管理该设备的主机上使用端点检测与响应(EDR)工具,以便及早发现潜在的利用尝试。
受影响国家
德国、法国、英国、荷兰、意大利、西班牙、瑞典、比利时、波兰、瑞士
来源: CVE数据库 V5
发布时间: 2026年1月21日(UTC时间2026年1月21日16:26:05)
厂商/项目: Cisco
产品: Cisco Intersight虚拟设备
aeYFGlNGPch5/i0AskAWpmMVXj3lzK9JFM/1O1GWF7COg0MRDh1GFrDK+ntyk/T1+xOriSd9xONEiZkFWE25iDdSfvtgXP2EC3SqsU0TSNiDT9DQbL9scOGZCKs0XSGS
