Cisco针对影响数据中心Nexus Dashboard的关键缺陷发布修补程序

Cisco周三发布了45个影响各种产品的漏洞的安全补丁，其中一些漏洞可以被利用在受影响的系统上以提升的权限执行任意操作。

在45个漏洞中，一个安全漏洞被评为严重漏洞，三个安全漏洞被评为高漏洞，41个安全漏洞被评为严重性中等漏洞。

其中最严重的问题是CVE-2022-20857、CVE-2022-20858和CVE-2022-20861，这些问题会影响数据中心和云网络基础设施的Cisco Nexus仪表板，并可能使“未经验证的远程攻击者能够执行任意命令、读取或上载容器图像文件，或执行跨站点请求伪造攻击”

• CVE-2022-20857（CVSS分数：9.8）-Cisco Nexus Dashboard任意命令执行漏洞
• CVE-2022-20858（CVSS分数：8.2）-Cisco Nexus仪表板容器图像读写漏洞
• CVE-2022-20861（CVSS分数：8.8）-Cisco Nexus仪表板跨站点请求伪造（CSRF）漏洞

在内部安全测试期间发现的所有三个漏洞都会影响Cisco Nexus Dashboard 1.1及更高版本，并在2.2（1e）版本中提供了修复。

另一个高严重性漏洞与Cisco Nexus Dashboard（CVE-2022-20860，CVSS分数：7.4）的SSL/TLS实现中的漏洞有关，该漏洞可能允许未经验证的远程攻击者改变与相关控制器的通信或查看敏感信息。

该公司在一份公告中表示：“攻击者可以利用此漏洞，使用中间人技术拦截受影响设备和控制器之间的流量，然后使用特制的证书模拟控制器”。

成功利用此漏洞可使攻击者改变设备之间的通信或查看敏感信息，包括这些控制器的管理员凭据

Cisco Nexus Dashboard产品中的另一组五个缺点涉及四个权限提升缺陷和一个任意文件写入漏洞，该漏洞可能允许经过身份验证的攻击者获得根权限并将任意文件写入设备。

修补程序的最后部分是修复Cisco IoT Control Center基于web的管理界面中的跨站点脚本（XSS）漏洞，如果成功将其武器化，则可能使未经验证的远程攻击者对用户发起XSS攻击。

Cisco说：“攻击者可以通过说服界面用户单击精心制作的链接来利用此漏洞”。成功利用此漏洞可使攻击者在受影响界面的上下文中执行任意脚本代码，或访问基于浏览器的敏感信息

尽管上述漏洞中没有一个据说被恶意用于现实世界的攻击，但受影响设备的用户必须迅速采取行动应用补丁。

在思科推出10个安全漏洞修补程序不到两周后，更新也陆续发布，其中包括思科高速公路系列和思科网真视频通信服务器（CVE-2022-20812）中的任意关键文件覆盖漏洞，该漏洞可能导致绝对路径穿越攻击。