思科修复企业通信解决方案中的严重漏洞

思科指出，该漏洞影响 Expressway Control (Expressway-C) 和 Expressway Edge (Expressway-E) 设备。这两款设备可使移动用户和远程工作人员进行远程协作。

思科在安全公告中指出，“API 和思科 Expressway Series 和 思科TelePresence VCS 的web 管理接口中存在多个漏洞，可导致远程攻击者在受影响设备上覆写任意文件或执行空字节投毒攻击。”

该漏洞的编号为CVE-2022-20812（CVSS评分9.0），可使具有管理员读写权限的认证攻击者远程，通过根用户权限在底层操作系统上覆写文件。该漏洞产生的原因在于用户提供的命令参数并未得到充分验证，从而使攻击者向受影响命令提交构造的输入。

思科还修复了影响企业通信解决方案的另外一个高危漏洞（CVE-2022-20813），可使未认证的远程攻击者访问敏感数据。该漏洞产生的原因在于证书未被正确验证，从而导致攻击者执行中间人攻击，并“拦截设备之间的流量，之后使用构造证书模拟端点”。攻击者之后可以明文形式查看遭拦截的流量，甚至修改流量内容。

这两个漏洞均已在思科 Expressway系列和 TelePresence VCS 发布14.0.7中修复，思科建议所有客户尽快更新。

本周，思科还发布了位于 Smart Software Manager 本地版中的一个高危漏洞，它可导致远程认证攻击者引发拒绝服务条件。该漏洞的编号为CVE-2022-20808，已在思科SSM 本地发布8-202112中修复。

思科解释称，“该漏洞是由于对思科SSM本地版上的多个同步设备注册的处理不当造成的。攻击者可向思科 SSM 本地版发送多个设备注册请求，利用该漏洞。”

思科表示尚未发现这些漏洞已遭利用的证据。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。