本周思科发布的安全补丁,以解决其产品的几个漏洞,其中包括一个关键在其统一联络中心快递(严重错误统一CCX)的软件。
该漏洞跟踪为CVE-2020-3280,CVSS评分为9.8,该漏洞可能使攻击者可以在受影响的设备上远程执行任意代码。
思科在一份通报中解释说,存在该问题是由于该软件对用户提供的内容进行不安全的反序列化。攻击者可以将恶意的序列化Java对象发送到特定的侦听器,以触发漏洞并以root用户身份执行任意代码。
根据Cisco的说法,该安全漏洞影响到Unified CCX 12.0之前的版本,并且已在Unified CCX版本12.0(1)ES03中得到解决。Unified CCX 12.5版不容易受到攻击。
思科还发布了软件更新,以解决Prime Network Registrar中的一个高度漏洞(CVE-2020-3272,CVSS评分为7.5),该漏洞可能被未经身份验证的远程攻击者滥用,从而导致拒绝服务(DoS)状态。
存在此问题是因为未正确验证传入的DHCP流量,从而使攻击者可以将精心制作的DHCP请求发送到受影响的设备并重新启动DHCP服务器进程,从而拒绝对其进行访问。
受此漏洞影响的Prime Network Registrar版本包括8.3、9.0、9.1、10.0和10.1。8.3之前的版本不受影响。
此外,思科还解决了AMP for Endpoints Mac连接器软件和AMP for Endpoints Linux连接器软件中的中等风险漏洞,这些漏洞可能被滥用以导致DoS状态(CVE-2020-3314)或导致崩溃并重新启动服务(CVE- 2020-3343和CVE-2020-3344)。
本周,该公司还详述的媒体在总理协作Provisioning软件严重漏洞,这可能会被滥用于SQL注入。
由于用户输入验证不正确而导致的漏洞,可以通过发送给受影响系统的恶意请求,以经过管理员身份验证的攻击者来利用此缺陷。因此,攻击者可以访问信息,对系统进行更改或从数据库中删除信息。
发现12.6 SU2之前的Prime Collaboration Provisioning Software版本受到影响,Cisco表示尚不知道此问题的解决方法。
该公司指出,它不知道公开公告或恶意使用上述漏洞。有关每个错误的详细信息已发布在思科的支持网站上。
版权申明:本站文章均来自网络,如有侵权,请联系01056159998 邮箱:itboby@foxmail.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有