通过与 Jira 对比,让您更全面了解 PingCode

  • 首页
  • 需求与产品管理
  • 项目管理
  • 测试与缺陷管理
  • 知识管理
  • 效能度量
        • 更多产品

          客户为中心的产品管理工具

          专业的软件研发项目管理工具

          简单易用的团队知识库管理

          可量化的研发效能度量工具

          测试用例维护与计划执行

          以团队为中心的协作沟通

          研发工作流自动化工具

          账号认证与安全管理工具

          Why PingCode
          为什么选择 PingCode ?

          6000+企业信赖之选,为研发团队降本增效

        • 行业解决方案
          先进制造(即将上线)
        • 解决方案1
        • 解决方案2
  • Jira替代方案

25人以下免费

目录

紧急安全更新: 思科和VMware修复关键漏洞

VMware已经发布了安全更新,以修复Aria Operations for Networks中可能导致信息泄露和远程代码执行的三个漏洞。

这三个漏洞中最关键的是一个被追踪为CVE-2023-20887的命令注入漏洞(CVSS评分:9.8),它可以让具有网络访问权限的恶意行为者实现远程代码执行。

同样被VMware修补的还有另一个反序列化漏洞(CVE-2023-20888),在CVSS评分系统中被评为9.1分,最高分是10分。

该公司在一份公告中说:拥有对VMware Aria Operations for Networks的网络访问权的的恶意行为者能够进行反序列化攻击,导致远程代码执行。

第三个安全漏洞是一个高严重度的信息披露漏洞(CVE-2023-20889,CVSS评分:8.8),可以允许具有网络访问权限的攻击者执行命令注入攻击并获得对敏感数据的访问。

这三个影响VMware Aria Operations Networks 6.x版本的漏洞已在以下版本中得到修复: 6.2、6.3、6.4、6.5.1、6.6、6.7、6.8、6.9和6.10。请及时更新。

在发出警报的同时,思科还对其Expressway系列和网真视频通信服务器(VCS)中的一个关键漏洞进行了修复,该漏洞可以允许具有管理员级别只读凭证的认证攻击者在受影响的系统上将其权限提升到具有读写凭证的管理员。

思科表示,这个特权升级漏洞(CVE-2023-20105,CVSS评分:9.6)源于对密码更改请求的不规范处理,从而允许攻击者改变系统上任何用户的密码,包括管理读写用户,然后冒充该用户。

同一产品中的第二个高危漏洞(CVE-2023-20192,CVSS评分:8.4)可以允许一个经过验证的本地攻击者执行命令和修改系统配置参数。

作为CVE-2023-20192的解决方法,思科建议用户禁止只读用户的CLI访问。目前这两个漏洞已分别在VCS 14.2.1和14.3.0版本中得到解决。

虽然没有证据表明上述任何漏洞在野外被滥用,但仍强烈建议尽快更新到安全的版本以减少潜在风险。

参考链接:https://thehackernews.com/2023/06/urgent-security-updates-cisco-and.html

文章来自:https://www.freebuf.com/

相关文章