紧急安全更新:思科和 VMware 解决关键漏洞

阅读量374285

发布时间 : 2023-06-09 18:12:27

VMware 已发布安全更新,以修复 Aria Operations for Networks 中可能导致信息泄露和远程代码执行的三个缺陷。
这三个漏洞中最严重的是一个被跟踪为CVE-2023-20887(CVSS 评分:9.8)的命令注入漏洞,它可能允许具有网络访问权限的恶意行为者实现远程代码执行。
VMware 还修补了另一个反序列化漏洞( CVE-2023-20888 ),该漏洞在 CVSS 评分系统中的评分为 9.1(满分 10)。
该公司在一份公告中表示:“具有 VMware Aria Operations for Networks 网络访问权限和有效‘成员’角色凭证的恶意行为者可能能够执行反序列化攻击,从而导致远程代码执行。”
第三个安全缺陷是高严重性信息泄露漏洞(CVE-2023-20889,CVSS 评分:8.8),可能允许具有网络访问权限的攻击者执行命令注入攻击并获得对敏感数据的访问权限。
影响 VMware Aria Operations Networks 版本 6.x 的三个缺点已在以下版本中得到修复:6.2、6.3、6.4、6.5.1、6.6、6.7、6.8、6.9 和 6.10。没有缓解这些问题的解决方法。
该警报发布之际,思科发布了针对其 Expressway 系列和 TelePresence 视频通信服务器 (VCS) 中严重缺陷的修复程序,该缺陷可能“允许具有管理员级别只读凭据的经过身份验证的攻击者将其权限提升为具有读写凭据的管理员一个受影响的系统。”
特权升级缺陷(CVE-2023-20105,CVSS 评分:9.6)表示,源于对密码更改请求的不正确处理,从而允许攻击者更改系统上任何用户的密码,包括管理读写用户,然后模拟该用户。
同一产品中的第二个高危漏洞(CVE-2023-20192,CVSS 评分:8.4)可能允许经过身份验证的本地攻击者执行命令和修改系统配置参数。
作为 CVE-2023-20192 的解决方法,思科建议客户禁用只读用户的 CLI 访问。这两个问题已分别在 VCS 版本 14.2.1 和 14.3.0 中得到解决。
虽然没有证据表明上述任何缺陷已被滥用,但强烈建议尽快修补漏洞以减轻潜在风险。
该公告还发现了RenderDoc中的三个安全漏洞( CVE-2023-33863、CVE-2023-33864和CVE-2023-33865),这是一个开源图形调试器,可能允许公告获得提升的特权和执行任意代码。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+112赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66