思科针对影响数据中心 Nexus 仪表板的关键缺陷发布补丁

思科周三发布了针对影响各种产品的 45 个漏洞的安全补丁，其中一些漏洞可被利用在受影响系统上以提升的权限执行任意操作。

在 45 个漏洞中，1 个安全漏洞被评为严重，3 个被评为高，41 个被评为中等严重性。

最严重的问题是 CVE-2022-20857、CVE-2022-20858 和 CVE-2022-20861，它们会影响用于数据中心和云网络基础设施的 Cisco Nexus Dashboard，并可能使“未经身份验证的远程攻击者能够执行任意命令” ，读取或上传容器图像文件，或执行跨站点请求伪造攻击。”

• CVE-2022-20857（CVSS 评分：9.8）- Cisco Nexus Dashboard 任意命令执行漏洞
• CVE-2022-20858（CVSS 评分：8.2）- Cisco Nexus Dashboard 容器映像读写漏洞
• CVE-2022-20861（CVSS 分数：8.8）- Cisco Nexus Dashboard 跨站点请求伪造 (CSRF) 漏洞

在内部安全测试期间发现的所有三个漏洞都会影响 Cisco Nexus Dashboard 1.1 及更高版本，并在版本 2.2(1e) 中提供修复。

另一个高度严重的漏洞与 Cisco Nexus Dashboard 的 SSL/TLS 实施中的漏洞（CVE-2022-20860，CVSS 分数：7.4）有关，该漏洞可能允许未经身份验证的远程攻击者更改与关联控制器的通信或查看敏感信息。

“攻击者可以通过使用中间人技术来拦截受影响设备和控制器之间的流量，然后使用精心制作的证书来冒充控制器来利用此漏洞，”该公司在一份公告中表示。

“成功的利用可能允许攻击者更改设备之间的通信或查看敏感信息，包括这些控制器的管理员凭据。”

Cisco Nexus Dashboard 产品中的另外五个缺陷涉及四个特权提升漏洞和一个任意文件写入漏洞的混合，该漏洞可能允许经过身份验证的攻击者获得 root 权限并将任意文件写入设备。

思科还解决了其 Small Business RV110W、RV130、RV130W 和 RV215W 路由器中的35 个漏洞，这些漏洞可能使已经拥有有效管理员凭据的对手具备运行任意代码或导致拒绝服务 (DoS) 条件的能力通过向基于 Web 的管理界面发送特制的请求。

四舍五入修补程序是对思科物联网控制中心基于 Web 的管理界面中的跨站点脚本 (XSS) 漏洞的修复，如果成功武器化，可能使未经身份验证的远程攻击者能够对用户发起 XSS 攻击.

“攻击者可以通过说服界面用户单击精心制作的链接来利用此漏洞，”思科表示。“成功的利用可能允许攻击者在受影响界面的上下文中执行任意脚本代码或访问敏感的、基于浏览器的信息。”

尽管据说上述漏洞都没有被恶意用于现实世界的攻击，但受影响设备的用户必须迅速采取行动以应用补丁。

在思科针对 10 个安全漏洞推出补丁后不到两周，更新也发布了，其中包括思科 Expressway 系列和思科网真视频通信服务器 ( CVE-2022-20812 ) 中的任意关键文件覆盖漏洞，该漏洞可能导致绝对路径遍历攻击.