云安全日报220707:思科Expressway系列和网真视频通信服务器发现远程攻击漏洞,需要尽快升级

7月7日,思科发布了安全更新，修复了思科Expressway系列和网真视频通信服务器发现的远程攻击漏洞。以下是漏洞详情：kw228资讯网——每日最新资讯28at.com

漏洞详情kw228资讯网——每日最新资讯28at.com

来源：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-expressway-overwrite-3buqW8LHkw228资讯网——每日最新资讯28at.com

1.CVE-2022-20812 CVSS评分：9.0 严重程度:重要kw228资讯网——每日最新资讯28at.com

Cisco Expressway 系列和 Cisco TelePresence VCS 的集群数据库 API 中的一个漏洞可能允许经过身份验证的远程攻击者对应用程序具有管理员读写权限，以对受影响的设备进行绝对路径遍历攻击并覆盖底层操作系统上的文件根用户。kw228资讯网——每日最新资讯28at.com

此漏洞是由于用户提供的命令参数的输入验证不足。攻击者可以通过以管理读写用户身份向系统进行身份验证并将精心设计的输入提交给受影响的命令来利用此漏洞。成功的利用可能允许攻击者以root身份覆盖底层操作系统上的任意文件用户。kw228资讯网——每日最新资讯28at.com

2.CVE-2022-20813 CVSS评分：7.4 严重程度:高kw228资讯网——每日最新资讯28at.com

Cisco Expressway 系列和 Cisco TelePresence VCS 证书验证中的一个漏洞可能允许未经身份验证的远程攻击者未经授权访问敏感数据。kw228资讯网——每日最新资讯28at.com

此漏洞是由于不正确的证书验证造成的。攻击者可以通过使用中间人技术来拦截设备之间的流量，然后使用精心制作的证书来模拟端点来利用此漏洞。成功的利用可能允许攻击者以明文形式查看截获的流量或更改流量的内容。kw228资讯网——每日最新资讯28at.com

受影响产品kw228资讯网——每日最新资讯28at.com

上述漏洞影响使用默认配置的Cisco Expressway系列和Cisco TelePresence VCS 14.0及以下版本。kw228资讯网——每日最新资讯28at.com

解决方案kw228资讯网——每日最新资讯28at.com

Cisco Expressway系列和Cisco TelePresence VCS升级至14.0.7版本可修复kw228资讯网——每日最新资讯28at.com

查看更多漏洞信息 以及升级请访问官网：kw228资讯网——每日最新资讯28at.com

https://tools.cisco.com/security/center/publicationListing.xkw228资讯网——每日最新资讯28at.com

本文链接：http://www.28at.com/showinfo-119-2411-0.html云安全日报220707:思科Expressway系列和网真视频通信服务器发现远程攻击漏洞,需要尽快升级

声明：本网页内容旨在传播知识，若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。邮件：2376512515@qq.com

上一篇： ICRA 2022杰出论文：把自动驾驶2D图像转成鸟瞰图，模型识别准确率立增15%

下一篇： 云计算开发：Python3三角函数cos()方法详解