日前,思科发布安全更新,修复了思科高速公路系列和网真视频通信服务器发现的远程攻击漏洞。以下是该漏洞的详细信息:
漏洞详细信息
1.CVE—2022—20812 CVSS评分:9.0严重程度:重要
Cisco Expressway Series和Cisco TelePresence VCS的集群数据库API中存在一个漏洞,使得经过身份验证的远程攻击者能够以管理员身份读写应用程序,从而以绝对路径遍历攻击受影响的设备,并覆盖底层操作系统上的文件根用户。
该漏洞是由于对用户提供的命令参数的输入验证不充分造成的攻击者可以通过以管理读写用户的身份向系统进行身份验证,并将精心编制的输入提交给受影响的命令,从而利用此漏洞成功利用可能允许攻击者以根用户身份覆盖底层操作系统上的任何文件用户
2.CVE—2022—20813 CVSS评分:7.4严重程度:高
Cisco Expressway Series和Cisco TelePresence VCS证书验证中存在一个漏洞,使得未经验证的远程攻击者能够对敏感数据进行未经授权的访问。
此漏洞是由不正确的证书验证引起的攻击者可以通过使用中间人技术来拦截设备之间的流量,然后使用特制的证书来模拟端点,从而利用此漏洞成功利用可能允许攻击者以明文形式查看拦截的通信量或更改通信量的内容
受影响的产品
上述漏洞会影响默认配置的Cisco Expressway系列和Cisco TelePresence VCS 14.0及以下版本。
解决办法
Cisco Expressway series和Cisco TelePresence VCS可以通过升级到版本14.0.7来修复。
