Cisco Enterprise NFVIS多个安全漏洞 (CVE-2022-20777,CVE-2022-20779,CVE-2022-20780)

时间 : 2022-05-05 20:50:00

近日,网络应急团队监测到Cisco发布了安全公告,修复了多个存在于Cisco产品中的安全漏洞,漏洞详情如下:

  • CVE-2022-20777 Cisco Enterprise NFVIS虚拟逃逸漏洞

漏洞类型:虚拟逃逸

风险等级:严重

漏洞描述:攻击者可以通过从VM发送API调用来利用此漏洞,该调用将在NFVIS主机上以root级权限执行。成功的利用可以让攻击者完全破坏NFVIS主机。

  • CVE-2022-20779 Cisco Enterprise NFV Infrastructure Software 命令注入漏洞

漏洞类型:命令注入

风险等级:高危

漏洞描述:未经身份验证的攻击者可利用 NFVIS 映像注册过程中对输入的信息验证不当的问题,通过诱使管理员安装带有精心制作的元数据 VM 映像,从而以 root 权限执行命令。

  • CVE-2022-20780 Cisco Enterprise NFV Infrastructure Software XXE 漏洞

漏洞类型:XXE

风险等级:高危

漏洞描述:未经身份验证的攻击者可利用 XML 解析器中的未对外部实体解析进行禁止的问题,通过诱使管理员导入一个精心制作的文件,从而将其写入任何已配置的 VM,导致在任何已配置的 VM 均可访问系统信息。

【受影响版本】

  • Cisco Enterprise NFVIS Release < 4.7.1

【安全版本】

  • Cisco Enterprise NFVIS Release 4.7.1


Cisco是一间跨国际综合技术企业,主要开发、制作和售卖网络硬件、软件、通信设备等高科技产品及服务。

e5c88076b010c0e278051fb634ec66f7.png

7*24小时技术支持
HKBGP
海外CN2服务器(客服1)
HKBGP
Telegram ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ 【客服】
7*24小时技术支持
HKBGP
TG官方群组
HKBGP
Telegram ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ ⁣⁣⁣⁣ 【群组】
HKBGP