首页 > 安全 > 正文

Cisco在高速公路中修复了两个临界缺陷,远程呈现VCS解决方案

最后更新 :2022.03.03

思科固定其高速公路系列和远程呈现视频通信服务器(VCS)统一通信产品中的临界缺陷。

思科宣布为几个关键漏洞宣布的安全补丁,被追踪为CVE-2022-20754和CVE-2022-20755(CVSS得分为9.0),其高速公路系列和远程呈现视频通信服务器(VCS)统一通信产品。

Cisco Expressway系列和Cisco TelePresence视频通信服务器(VCS)的API和基于Web的管理接口中的多种漏洞可以允许具有读/写权限的经过身份验证的远程攻击者,以写入文件或执行任意代码受影响设备的底层操作系统为  root 用户。阅读IT巨头发布的咨询。

一个远程经过身份验证的攻击者,v vissable应用程序的读/写权限可以利用vullnebiliti在具有root权限的基础操作系统上编写文件或在底层操作系统上执行任意代码。

cve-2022-20754是Cisco Expressway系列和Cisco TelePresence VCS中的任意文件写漏洞,它可以被利用来进行目录遍历攻击并覆盖底层操作系统上的文件。该缺陷是由用户提供的命令参数的输入验证不足引起的。

Cisco Expressway系列和Cisco TelePresence VCS的群集数据库API中的漏洞可能允许具有读/写权限的经过身份验证的远程攻击者应用于在受影响设备的底层操作系统上进行目录遍历攻击并覆盖文件作为  root 用户。继续咨询。攻击者可以通过作为管理用户的系统验证,然后将制作输入提交给受影响的命令来利用此漏洞。一个成功的Exploit可以允许攻击者将底层操作系统上的任意文件覆盖为  root 用户。

CVE-2022-20755漏洞是思科高速公路系列和Cisco TelePresence VCS中的命令注射漏洞,它驻留了在其基于Web的管理界面中,可以允许具有读/写权限的经过身份验证的远程攻击者,以将受影响设备的底层操作系统的任意代码执行为  root 用户。

这个漏洞是由于用户提供的命令参数的输入验证不足。攻击者可以通过作为管理用户的系统验证,然后将制作输入提交给受影响的命令来利用此漏洞。继续咨询。成功的漏洞可以允许攻击者作为root用户将底层操作系统上的任意代码执行。

两种漏洞都已经解决14.0.5版本的发布。

该公司并不意识到攻击在野外利用这些漏洞。

- END -

看更多