Cisco 多个产品存在安全漏洞CVE-2022-20827,CVE-2022-20841,CVE-2022-20842,CVE-2022-20820,CVE-2022-20852,CVE-2022-20914,CVE-2022-20816,CVE-2022-20869

近日,我司监测到Cisco发布安全公告,修复了8个存在于Cisco产品中的安全漏洞

Cisco是一间跨国际综合技术企业,主要开发、制作和售卖网络硬件、软件、通信设备等高科技产品及服务。

漏洞详情如下:

1.CVE-2022-20842 Cisco Small Business RV 系列路由器远程代码执行和拒绝服务漏洞

漏洞类型:远程代码执行、拒绝服务漏洞

风险等级:严重

漏洞描述:Cisco RV340、RV340W、RV345 和 RV345P 双广域网千兆 VPN 路由器基于 Web 的管理界面中存在漏洞。由于对基于 Web 的管理界面的用户提供的输入的验证不充分,攻击者可以通过向受影响的设备发送精心设计的 HTTP 输入来利用此漏洞。成功的利用可能允许攻击者在底层操作系统上以root用户身份执行任意代码或导致设备重新加载,从而导致拒绝服务。

2.CVE-2022-20827 Cisco Small Business RV 系列路由器Web过滤器数据库更新命令注入漏洞

漏洞类型:命令注入

风险等级:严重

漏洞描述:Cisco Small Business RV160、RV260、RV340 和 RV345 系列路由器的 Web 过滤器数据库更新功能中存在一个漏洞。此漏洞是由于输入验证不足造成的,攻击者可以通过向 Web 过滤器数据库更新功能提交精心设计的输入来利用此漏洞,成功的利用可能允许攻击者以root权限在底层操作系统上执行命令。

3.CVE-2022-20841 Cisco Small Business RV 系列路由器Open Plug and Play模块命令注入漏洞

漏洞类型:命令注入

风险等级:高危

漏洞描述:Cisco Small Business RV160、RV260、RV340 和 RV345 系列路由器的 Open Plug and Play (PnP) 模块中存在漏洞。此漏洞是由于对用户提供的输入的验证不充分,攻击者可以通过向受影响的设备发送恶意输入来利用此漏洞,成功的利用可能允许攻击者在底层 Linux 操作系统上执行任意命令。要利用此漏洞,攻击者必须利用中间人位置或在连接到受影响路由器的特定网络设备上建立立足点。

4.CVE-2022-20820 Cisco Webex Meetings 跨站脚本漏洞

漏洞类型:跨站脚本

风险等级:中危

漏洞描述:Cisco Webex Meetings 的 Web 界面中存在漏洞,可能允许经过身份验证的远程攻击者对界面的用户进行跨站点脚本 (XSS) 攻击。

5.CVE-2022-20852 Cisco Webex Meetings 框架劫持漏洞

漏洞类型:框架劫持

风险等级:中危

漏洞描述:Cisco Webex Meetings 的 Web 界面中存在漏洞,可能允许未经身份验证的远程攻击者对该界面的用户进行帧劫持攻击。

6.CVE-2022-20914 Cisco Identity Services Engine敏感信息泄露漏洞

漏洞类型:信息泄露

风险等级:中危

漏洞描述:Cisco Identity Services Engine (ISE) 软件的外部 RESTful 服务 (ERS) API 中存在漏洞,可能允许经过身份验证的远程攻击者获取敏感信息。

7.CVE-2022-20816 Cisco Unified Communications Manager 任意文件删除漏洞

漏洞类型:任意文件删除

风险等级:中危

漏洞描述:Cisco Unified Communications Manager (Unified CM) 和 Cisco Unified Communications Manager 会话管理版 (Unified CM SME) 基于 Web 的管理界面中存在一个漏洞,可能允许经过身份验证的远程攻击者从受影响的系统中删除任意文件。

8.CVE-2022-20869 Cisco BroadWorks 应用交付平台软件跨站脚本漏洞

漏洞类型:跨站脚本

风险等级:中危

漏洞描述:Cisco BroadWorks 应用交付平台软件的基于 Web 的管理界面中存在漏洞,可能允许未经身份验证的远程攻击者对该界面的用户进行跨站点脚本攻击。

 

影响版本:

  • RV160 and RV260 Series Routers == 1.0.01.05
  • RV340 and RV345 Series Routers == 1.0.03.26
  • Cisco Identity Services Engine == 2.4、2.6、2.7、3.0、3.1
  • Cisco Unified Communications Manager == 11.5、12.5、14
  • Cisco BroadWorks Call Center == 22.0、23.0、24.0
  • Cisco BroadWorks Receptionist == 22.0、23.0、24.0

 

安全版本:

  • RV160 and RV260 Series Routers == 1.0.01.09
  • RV340 and RV345 Series Routers == 1.0.03.28
  • Cisco Identity Services Engine == 2.6P11、2.7P82 (Oct 2022)、3.0P6、3.1P3
  • Cisco Unified Communications Manager == 14SU2

 

修复建议:

Cisco公司已经针对漏洞发布了更新,通过 Cisco (思科)的许可证对相应的系统进行更新,第三方采购用户通过以下链接获得相关支持,Cisco 支持服务如下链接:

https://www.cisco.com/c/en/us/support/web/tsd-cisco-worldwide-contacts.html

发表评论

评论已关闭。

相关文章