思科发布关键安全漏洞修复
关键要点
- 思科对其重要的企业协作和视频通信解决方案进行了一系列漏洞修复。
- 发现了两处严重漏洞,CVE-2023-20105 和 CVE-2023-20192,可能被恶意攻击者利用。
- 修复还包括对其他高危和中危漏洞的补丁,保障用户系统安全。
根据,思科近期针对其Expressway系列和TelePresence视频通信服务器的企业协作和视频通信解决方案发布了关键和高严重性漏洞的修复。攻击者有可能利用这一关键漏洞CVE-2023-20105,该漏洞是由于不当处理密码更改请求,从而使拥有“只读”权限的管理员可以进行权限提升。同时,高严重性漏洞CVE-2023-20192也可能被利用来增强权限。
思科指出:“此漏洞是由于用户角色权限实施不当所致。攻击者可以通过以只读CLI管理员身份验证进入应用程序,然后发出通常仅限于拥有读写权限的管理员的命令,从而利用这一漏洞。”此外,思科还发布了其他补丁,以解决影响统一通信管理器IM和Presence服务的高严重性拒绝服务漏洞、影响AnyConnect安全移动客户端和SecureClient Windows软件的高严重性代码执行漏洞,以及在统一通信管理器会话管理版和统一通信管理器中发现的中严重性漏洞。
漏洞类型 | 漏洞编号 | 严重程度 | 描述
—|—|—|—
权限提升漏洞 | CVE-2023-20105 | 关键 | 不当处理密码更改请求导致的权限提升
权限提升漏洞 | CVE-2023-20192 | 高 | 可能被攻击者利用来提升权限
拒绝服务漏洞 | N/A | 高 | 影响统一通信管理器IM和Presence服务
代码执行漏洞 | N/A | 高 | 影响AnyConnect安全移动客户端和Secure Client
中严重性漏洞 | N/A | 中 | 相应的影响统一通信管理器的其他潜在漏洞
除了以上两项关键漏洞外,思科的补丁还涵盖了其他多个产品,确保广泛的安全覆盖面。用户应该尽快应用这些更新,以保护其系统免受潜在攻击。