7*24小时技术支持
海外CN2服务器(客服1)
近日,网络应急团队监测到Cisco发布了安全公告,修复了多个存在于Cisco产品中的安全漏洞,漏洞详情如下:
CVE-2022-20777 Cisco Enterprise NFVIS虚拟逃逸漏洞
漏洞类型:虚拟逃逸
风险等级:严重
漏洞描述:攻击者可以通过从VM发送API调用来利用此漏洞,该调用将在NFVIS主机上以root级权限执行。成功的利用可以让攻击者完全破坏NFVIS主机。
CVE-2022-20779 Cisco Enterprise NFV Infrastructure Software 命令注入漏洞
漏洞类型:命令注入
风险等级:高危
漏洞描述:未经身份验证的攻击者可利用 NFVIS 映像注册过程中对输入的信息验证不当的问题,通过诱使管理员安装带有精心制作的元数据 VM 映像,从而以 root 权限执行命令。
CVE-2022-20780 Cisco Enterprise NFV Infrastructure Software XXE 漏洞
漏洞类型:XXE
风险等级:高危
漏洞描述:未经身份验证的攻击者可利用 XML 解析器中的未对外部实体解析进行禁止的问题,通过诱使管理员导入一个精心制作的文件,从而将其写入任何已配置的 VM,导致在任何已配置的 VM 均可访问系统信息。
【受影响版本】
Cisco Enterprise NFVIS Release < 4.7.1
【安全版本】
Cisco Enterprise NFVIS Release 4.7.1
Cisco是一间跨国际综合技术企业,主要开发、制作和售卖网络硬件、软件、通信设备等高科技产品及服务。