紧急安全更新: 思科和VMware修复关键漏洞
VMware已经发布了安全更新,以修复Aria Operations for Networks中可能导致信息泄露和远程代码执行的三个漏洞。
这三个漏洞中最关键的是一个被追踪为CVE-2023-20887的命令注入漏洞(CVSS评分:9.8),它可以让具有网络访问权限的恶意行为者实现远程代码执行。
同样被VMware修补的还有另一个反序列化漏洞(CVE-2023-20888),在CVSS评分系统中被评为9.1分,最高分是10分。
该公司在一份公告中说:拥有对VMware Aria Operations for Networks的网络访问权的的恶意行为者能够进行反序列化攻击,导致远程代码执行。
第三个安全漏洞是一个高严重度的信息披露漏洞(CVE-2023-20889,CVSS评分:8.8),可以允许具有网络访问权限的攻击者执行命令注入攻击并获得对敏感数据的访问。
这三个影响VMware Aria Operations Networks 6.x版本的漏洞已在以下版本中得到修复:6.2、6.3、6.4、6.5.1、6.6、6.7、6.8、6.9和6.10。请及时更新。
在发出警报的同时,思科还对其Expressway系列和网真视频通信服务器(VCS)中的一个关键漏洞进行了修复,该漏洞可以允许具有管理员级别只读凭证的认证攻击者在受影响的系统上将其权限提升到具有读写凭证的管理员。
思科表示,这个特权升级漏洞(CVE-2023-20105,CVSS评分:9.6)源于对密码更改请求的不规范处理,从而允许攻击者改变系统上任何用户的密码,包括管理读写用户,然后冒充该用户。
同一产品中的第二个高危漏洞(CVE-2023-20192,CVSS评分:8.4)可以允许一个经过验证的本地攻击者执行命令和修改系统配置参数。
作为CVE-2023-20192的解决方法,思科建议用户禁止只读用户的CLI访问。目前这两个漏洞已分别在VCS 14.2.1和14.3.0版本中得到解决。
虽然没有证据表明上述任何漏洞在野外被滥用,但仍强烈建议尽快更新到安全的版本以减少潜在风险。
来源: FreeBuf