Cisco修复了一个允许攻击者以Root身份执行命令的BUG。第一个安全漏洞(严重程度被评为CVE-2022-20857)可能允许未经身份验证的威胁参与者发送HTTP请求以访问API并使用root权限远程执行任意命令。第二个漏洞是WebUI中的一个高危漏洞,编号为CVE-2022-20861,它可能允许远程攻击者通过诱使经过身份验证的管理员单击恶意链接来进行跨站点请求伪造攻击。对此,思科也解释称,利用该漏洞可能允许攻击者以管理员权限在受影响的设备上执行操作。最近修补的另一个高危安全漏洞(CVE-2022-20858)可能允许未经身份验证的远程攻击者下载容器映像或将恶意映像上传到受影响的设备。幸运的是,恶意图像将在设备重启或Pod重启后运行,正如思科在其发布的安全公告中所解释的那样。但是,这些漏洞会影响CiscoNexusDashboard1.1及更高版本。思科已在最近发布的2.2(1e)安全更新中解决了该漏洞,并建议客户尽快迁移到修复版本。这些安全漏洞是思科高级安全计划小组(ASIG)的安全研究人员在内部安全测试期间发现的。思科的产品安全事件响应小组(PSIRT)表示,目前并未发现公开可用的漏洞利用或在野外活跃的漏洞利用。思科还修补了CiscoNexus仪表板的SSL/TLS实施中的第四个漏洞(CVE-2022-20860),该漏洞可能允许远程、未经身份验证的威胁行为者改变通信,利用该漏洞还可能允许攻击者查看敏感信息,包括受影响控制器的管理员凭据。据思科称,该漏洞的存在是因为当CiscoNexusDashboard与CiscoApplicationPolicyInfrastructureController(APIC)、CiscoCloudAPIC或CiscoNexusDashboardFabricController(以前称为DataCenterNetworkManager(DCNM)Controller)建立连接时,SSL服务器证书未验证。
