思科快速路系列、网真VCS产品发布关键补丁

Cisco本周发布了补丁，以解决影响Expression Series和Cisco TelePresence Video Communication Server（VCS）的新一轮关键安全漏洞，攻击者可以利用这些漏洞获得提升的权限并执行任意代码。

两个缺陷–；跟踪为CVE-2022-20754和CVE-2022-20755（CVSS分数：9.0）和#8211；与两个产品的API和基于web的管理界面中的任意文件写入和命令注入缺陷有关，这可能会对受影响的系统造成严重影响。

该公司表示，这两个问题都源于用户提供的命令参数的输入验证不足，这一弱点可能会被经过身份验证的远程攻击者利用，以执行目录遍历攻击、覆盖任意文件，并以根用户身份在底层操作系统上运行恶意代码。

“这些漏洞是思科高级安全倡议集团（ASIG）的杰森·克劳德（Jason Crowder）在内部安全测试中发现的，”该公司在周三发布的咨询报告中指出。

Also addressed by Cisco are three other flaws in StarOS, Cisco Identity Services Engine RADIUS Service, and Cisco Ultra Cloud Core - Subscriber Microservices Infrastructure software –

• CVE-2022-20665（CVSS得分：6.0）和#8211；Cisco StarOS中存在一个命令注入漏洞，允许具有管理凭据的攻击者以root权限执行任意代码
• CVE-2022-20756（CVSS得分：8.6）和#8211；影响Cisco Identity Services Engine（ISE）RADIUS功能的拒绝服务（DoS）漏洞
• CVE-2022-20762（CVSS得分：7.8）和#8211；Cisco Ultra Cloud Core-Subscriber Microservices Infrastructure（SMI）软件的公共执行环境（CEE）ConfD CLI中存在权限升级漏洞，该漏洞可能允许经过身份验证的本地攻击者升级为根权限

思科还指出，它没有发现恶意利用这些漏洞的证据，并补充说，这些漏洞要么是在内部安全测试过程中发现的，要么是在解决思科技术援助中心（TAC）的支持案件过程中发现的。

不过，我们还是敦促客户尽快更新到最新版本，以缓解任何潜在的野生攻击。