聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这些漏洞的编号是CVE-2022-20754和CVE-2022-20755,CVSS评分为9.0,可被远程未认证攻击者以root权限在底层操作系统上写文件或执行代码。
尽管两个漏洞之间互不依赖,但均要求攻击者对易受攻击应用程序拥有读/写权限。
CVE-2022-20754 位于Expressway 和 TelePresence VCS 的集群数据库API 中,可被攻击者以root权限发动目录遍历攻击并在底层操作系统上覆写任意文件。
CVE-2022-20755 影响这两款设备的 web 管理接口,可被用于执行任意代码。
这两个漏洞存在的原因在于,用户提供的命令参数未被充分验证,因此可导致攻击者以管理员权限认证到系统并提交构造的输入。
思科发布版本14.0.5解决了这些问题。
本周,思科还发布软件更新,解决了位于 Ultra Cloud Core SMI和ISE中的两个高危漏洞。
第一个漏洞影响 Ultra Cloud Core SMI 中的CEE ConfD CLI,可被认证的本地攻击者以root权限访问权限容器。该漏洞的编号为CVE-2022-20762(CVSS评分7.8),已在Ultra Cloud Core SMI 2020.02.2.47和2020.02.7.07发布中解决。
第二个高危漏洞影响ISE 的RADIUS 特性,可遭远程利用且无需认证,可触发DoS 条件。该漏洞的编号是CVE-2022-20756(CVSS评分8.6)。该漏洞存在的原因是某些RADIUS请求未被正确处理。思科ISE 2.7P6、3.0P5和3.1P1 版本中包含漏洞的修复方案。
思科表示并未发现这些漏洞已遭利用的迹象。不过思科建议客户尽快更新至已修复版本。
代码卫士试用地址:https://codesafe.qianxin.com/#/home
开源卫士试用地址:https://oss.qianxin.com
https://www.securityweek.com/cisco-patches-critical-vulnerabilities-expressway-telepresence-vcs-products
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):思科修复 Expressway、TelePresence VCS 产品中的严重漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论