CVE-2021-34718 (CNNVD-202109-389)
中文标题:
Cisco IOS XR 参数注入漏洞
英文标题:
Cisco IOS XR Software Arbitrary File Read and Write Vulnerability
漏洞描述
中文描述:
Cisco IOS XR是美国思科(Cisco)公司的一套为其网络设备开发的操作系统。 Cisco IOS XR软件存在参数注入漏洞,该漏洞源于Cisco IOS XR Software的SSH Server进程对于用户为特定文件传输方法提供的参数的输入验证不足。这可能允许经过身份验证的远程攻击者可利用该漏洞覆盖并读取本地设备上的任意文件。具有低级权限的攻击者可利用该漏洞可以通过在对设备进行身份验证时指定安全复制协议(SCP)参数来利用该漏洞。成功的攻击可以让攻击者可利用该漏洞提升他们的权限,并在他们应该在的设备上检索和上传文件。
英文描述:
A vulnerability in the SSH Server process of Cisco IOS XR Software could allow an authenticated, remote attacker to overwrite and read arbitrary files on the local device. This vulnerability is due to insufficient input validation of arguments that are supplied by the user for a specific file transfer method. An attacker with lower-level privileges could exploit this vulnerability by specifying Secure Copy Protocol (SCP) parameters when authenticating to a device. A successful exploit could allow the attacker to elevate their privileges and retrieve and upload files on a device that they should not have access to.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| Cisco | Cisco IOS XR Software | n/a | - | - |
cpe:2.3:a:cisco:cisco_ios_xr_software:n_a:*:*:*:*:*:*:*
|
| cisco | ios_xr | * | - | - |
cpe:2.3:o:cisco:ios_xr:*:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
参考链接
cve.org
CVSS评分详情
3.1 (cna)
HIGHCVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2021-34718 |
2025-11-11 15:21:00 | 2025-11-11 07:36:55 |
| NVD | nvd_CVE-2021-34718 |
2025-11-11 14:57:42 | 2025-11-11 07:45:13 |
| CNNVD | cnnvd_CNNVD-202109-389 |
2025-11-11 15:10:43 | 2025-11-11 07:56:55 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 授权问题
- cnnvd_id: 未提取 -> CNNVD-202109-389
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- affected_products_count: 1 -> 2
- data_sources: ['cve'] -> ['cve', 'nvd']