思科发布针对其网络和统一通信产品的安全补丁
思科19日发布安全补丁,修复其网络和统一通信产品系列中的17个漏洞。
这些补丁修复1个超危漏洞和6个高危漏洞,包括远程访问和代码执行,权限提升,拒绝服务,和跨站请求伪造。
唯一的超危漏洞为CVE-2020-3158,该漏洞源于思科Smart Software Manager工具存在一个使用静态密码的高权限账户。
思科表示,该漏洞是由于某个系统账户使用默认静态密码,且不受系统管理员的控制。攻击者可借助该默认账户利用该漏洞连接到受影响的系统。
由于Smart Software Manager处理的是软件license和密钥,所以该漏洞不会导致大规模泄露敏感的企业数据的风险。但是任何人都不想要一个使用静态密码且无法移除的高权限账户,因此建议管理员尽快更新软件,清除该静态账户。
思科还披露了Unified Contact Center(CVE-2019-1888)和Data Center Network Manager(CVE-2020-3112)中的提权漏洞,以及NFV Infrastructure Software中一个需要本地访问的代码执行漏洞(CVE-2020-3138)。
思科Email Security Appliance中存在两个拒绝服务漏洞(CVE-2019-1947和CVE-2019-1983)。虽然一般认为拒绝服务漏洞不具有较大的风险,但当该类漏洞存在于网络安全设备中,严重程度就上升了。
思科此次还修复了Cloud Web Security中的SQL注入漏洞(CVE-2020-3154)和思科IP Phone中的远程代码执行漏洞(CVE-2020-3111)。
本文源自The Register;转载请注明出处。
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐