近日，我司监测到Cisco发布安全公告，修复了多个存在于Cisco产品中的安全漏洞

Cisco是一间跨国际综合技术企业，主要开发、制作和售卖网络硬件、软件、通信设备等高科技产品及服务。此次以下三个漏洞值得关注：

• CVE-2022-20812 Cisco Expressway系列和Cisco TelePresence VCS任意文件覆盖漏洞

漏洞类型：任意文件覆盖

风险等级：严重

漏洞描述：此漏洞是由于用户提供的命令参数的输入验证不足而造成的。攻击者可以通过以管理读写用户的身份向系统进行身份验证并将精心设计的输入提交给受影响的命令来利用此漏洞。成功利用该漏洞可能允许攻击者以root身份覆盖底层操作系统上的任意文件用户。

• CVE-2022-20813 Cisco Expressway系列和Cisco TelePresence VCS信息泄露漏洞

漏洞类型：信息泄露

风险等级：高危

漏洞描述：此漏洞是由于不正确的证书验证造成的。攻击者可以通过使用中间人技术来拦截设备之间的流量，然后使用精心制作的证书来模拟端点来利用此漏洞。成功利用该漏洞可能允许攻击者以明文形式查看截获的流量或更改流量的内容。

• CVE-2022-20808 Cisco Smart Software Manager On-Prem拒绝服务漏洞

漏洞类型：拒绝服务

风险等级：高危

漏洞描述：此漏洞是由于对 Cisco SSM On-Prem 上的多个同时设备注册处理不正确造成的。攻击者可以通过向 Cisco SSM On-Prem 发送多个设备注册请求来利用此漏洞。成功利用该漏洞可能允许攻击者在受影响的设备上造成 DoS。

影响版本:

• Cisco Expressway Series and Cisco TelePresence VCS Release < 14.0.7
• Cisco SSM On-Prem Release < 8-202112

安全版本:

• Cisco Expressway Series and Cisco TelePresence VCS Release 14.0.7
• Cisco SSM On-Prem Release 8-202112

修复建议：

Cisco公司已经针对漏洞发布了更新，通过 Cisco (思科)的许可证对相应的系统进行更新，第三方采购用户通过以下链接获得相关支持，Cisco 支持服务如下链接：

https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html