诺基亚的CloudBand基础设施软件(CBIS)和诺基亚容器服务(NCS)管理器API中出现了一个严重的身份验证绕过漏洞,编号为CVE-2023-49564。
这个高危漏洞在CVSS v3.1评分系统中得分为9.6分,它使未授权攻击者能够通过特制的HTTP头绕过身份验证机制,有可能在没有有效凭据的情况下完全访问受限制的API端点。
该漏洞影响CBIS 22和NCS 22.12版本,对使用诺基亚云及网络基础设施解决方案的企业、服务提供商和公共部门组织造成影响。
这一漏洞于2025年9月18日被公开披露,此前Orange Cert的研究人员在常规安全评估中发现了这一安全漏洞。
诺基亚安全研究人员确定,根本原因在于CBIS/NCS管理器主机上运行的Nginx Podman容器的身份验证实现中嵌入的验证机制较弱。
这种架构缺陷使得威胁行为者能够操纵HTTP头字段,从而欺骗认证系统,使其认为请求是合法的。
这种利用途径需要相邻网络访问权限(CVSS AV:A),这在企业环境中尤其令人担忧,因为攻击者可能已经在网络中获得了初步立足点。
一旦该漏洞被利用,攻击者便能获得完全的入侵能力,这会对机密性、完整性和可用性造成严重影响,使攻击者能够访问敏感的配置数据、修改系统设置,并可能破坏网络运行。
技术攻击机制
这种身份验证绕过通过针对Nginx容器验证逻辑的标头操纵来实现。
在处理API请求时,系统未能正确验证嵌入在HTTP头中的身份验证令牌,这为伪造请求绕过安全控制创造了机会。
该漏洞允许未经验证的用户访问本应需要管理员权限的敏感端点。
| 漏洞详情 | 信息 |
|---|---|
| CVE ID | CVE-2023-49564 |
| CVSS评分 | 9.6(严重) |
| 攻击向量 | 相邻网络 |
| 受影响产品 | CBIS 22,NCS 22.12 |
| 修复版本 | CBIS 22 FP1 MP1.2,NCS 22.12 MP3 |
组织可以通过对管理网络访问实施外部防火墙限制,同时应用CBIS 22 FP1 MP1.2和NCS 22.12 MP3版本中提供的补丁,来部分缓解风险。
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
