Cisco于1月2日发布了六则有关DataCenter Network Manager（DCNM）产品软件更新的安全公告，修复了多个超危和高危漏洞。

Cisco Data Center Network Manager（DCNM）是由Cisco提供的虚拟设备、Windows和Red HatLinux的安装包。为了在全球范围内管理思科设备，DCNM部署在全球分布的数据中心。

这六则公告涉及12个安全漏洞，其中严重程度为超危和高危的漏洞都是由SourceIncite公司的安全研究人员Steven Seeley发现的。

Cisco此次修复的超危漏洞编号为CVE-2019-15975、CVE-2019-15976和CVE-2019-15977。这三个漏洞分别存在于CiscoDCNM的REST API端点、SOAP API端点和基于Web的管理界面中。

CVE-2019-15975和CVE-2019-15976都源于安装程序之间共享了一个静态的加密密钥，CVE-2019-15977则源于存在静态的凭据。如成功利用前两个漏洞，远程攻击者可以以管理员权限在受影响的设备上执行任意操作；而CVE-2019-15977可被利用于获取设备中的机密信息。

此次公告涉及的高危漏洞共有七个。其中CVE-2019-15978和CVE-2019-15979为命令注入漏洞，存在于DCNM产品的REST和SOAP API端点中，如成功利用漏洞，远程攻击者可以在底层操作系统上注入任意命令。另有三个（CVE-2019-15980、CVE-2019-15981和CVE-2019-15982）为路径遍历漏洞，存在于REST和SOAP API端点以及ApplicationFramework功能中，如成功利用，远程攻击者可读取、写入或执行系统中的任意文件。其余两个（CVE-2019-15984和CVE-2019-25985）为SQL注入漏洞，可被远程攻击者利用于在受影响的设备上执行任意SQL命令。

要利用这七个高危漏洞，攻击者都必须事先获取管理员权限。Cisco在公告中指出，远程攻击者可能将前述三个超危漏洞和这七个漏洞结合利用，以获取需要的管理员权限。

用于MicrosoftWindows、Linux和虚拟设备平台的CiscoDCNM Release 11.3(1)之前版本受到影响。

Cisco同时在公告中表示当前尚未发现这些漏洞遭到恶意利用。建议Cisco DCNM用户尽快前往官网下载更新。