Cisco无线LAN控制器软件中报告的严重身份验证绕过错误

Cisco已发布补丁，以包含影响无线LAN控制器（WLC）的关键安全漏洞，未经验证的远程攻击者可能会滥用该漏洞来控制受影响的系统。

跟踪为CVE-2022-20695，该问题的严重性被评为10分之10，使对手能够绕过身份验证控制并通过WLC的管理界面登录设备。

该公司在一份咨询中表示：“该漏洞是由于密码验证算法的不当实施造成的”。“攻击者可以使用特制的凭据登录到受影响的设备，从而利用此漏洞进行攻击”。

成功利用该漏洞可使攻击者获得管理员权限，并以允许完全接管易受攻击系统的方式执行恶意操作。

该公司强调，如果运行Cisco WLC软件8.10.151.0版或8.10.162.0版，且macfilter radius兼容性配置为其他，则该问题仅影响以下产品

• 3504无线控制器
• 5520无线控制器
• 8540无线控制器
• Mobility Express，以及
• 虚拟无线控制器（vWLC）

建议用户更新到版本8.10.171.0以解决该缺陷。Cisco Wireless LAN Controller 8.9及更低版本以及8.10.142.0及更低版本不易受攻击。

Cisco表示，没有证据表明CVE-2022-20695正在野生环境中被积极开发，这归功于Bispok的一位未透露姓名的研究人员报告了这一弱点。

网络设备专业本周还修补了影响Cisco IOS XE/XR和SD-WAN vManage软件以及Catalyst Digital Building系列交换机和Catalyst Micro交换机的14个严重缺陷和9个中等严重问题。