Cisco针对影响多个产品的新漏洞发布安全补丁

思科周三推出了修补程序，以解决影响其产品的三个安全缺陷，包括上个月晚些时候NVIDIA数据平面开发套件（MLNX_DPDK）中披露的一个高严重性缺陷。

跟踪为CVE-2022-28199（CVSS评分：8.6），该漏洞源于DPDK的网络堆栈中缺乏适当的错误处理，使远程对手能够触发拒绝服务（DoS）条件，并对数据完整性和机密性造成影响。

思科在9月7日发布的一份通知中表示:“如果在设备接口上观察到错误情况，设备可能会重新加载或无法接收流量，从而导致拒绝服务(DoS)情况”。

DPDK是一组用于快速数据包处理的库和优化的网络接口卡（NIC）驱动程序，为高速网络应用程序提供了框架和通用API。

思科表示，已调查其产品阵容，并确定以下服务受到该漏洞的影响，促使网络设备制造商发布软件更新-

• Cisco Catalyst 8000V边缘软件
• 自适应安全虚拟设备（ASAv）
• 安全防火墙威胁防御虚拟（以前称为FTDv）

除了CVE-2022-28199之外，Cisco还解决了其Cisco SD-WAN vManage软件中的一个漏洞，该漏洞可能“允许访问VPN0逻辑网络的未经验证的相邻攻击者也访问受影响系统上的消息服务端口”。

该公司将这一缺陷归咎于分配标识符CVE-2022-20696（CVSS分数：7.5）–消息服务器容器端口中缺少“足够的保护机制”。它认为Orange Business报告了该漏洞。

Cisco表示，成功利用该漏洞可能允许攻击者查看消息并将消息注入消息服务，这可能导致配置更改或导致系统重新加载。

Cisco修复的第三个缺陷是Cisco Webex应用程序（CVE-2022-20863，CVSS分数：4.3）的消息传递接口中的漏洞，该漏洞可使未经验证的远程攻击者修改链接或其他内容并进行钓鱼攻击。

“该漏洞的存在是因为受影响的软件无法正确处理角色渲染，”它说。“攻击者可以通过在应用程序接口内发送消息来攻击此漏洞”。

Cisco认为Binance Red团队的Rex、Bruce和Zachery发现并报告了该漏洞。

最后，它还披露了影响思科小型企业RV110W、RV130、RV130W和RV215W路由器的认证绕过漏洞（CVE-2022-20923，CVSS评分：4.0）的详细信息，该公司表示，由于产品达到寿命终止（EOL），该漏洞将不会修复。

“思科尚未发布也不会发布软件更新来解决该漏洞，”该公司指出，鼓励用户“迁移到思科小型企业RV132W、RV160或RV160W路由器”。