The Hacker News 消息披露，思科无线局域网控制器软件中存在高危漏洞，攻击者能够利用该漏洞绕过身份验证控制并通过管理界面登录设备，以控制受影响的系统。目前，Cisco 已经发布了安全更新。

漏洞危害性高，影响范围广

该漏洞追踪为 CVE-2022-20695，CVSS 评分为 10（满分 10 分），由 Bispok 公司匿名研究人员发现。

据悉，CVE-2022-20695 漏洞是由于密码验证算法实施不当造成的，攻击者可以通过使用伪造的凭证，登录到受漏洞影响的设备中。更糟糕的是，登陆设备的攻击者可能获得和管理员相同权限，完全接管易受攻击的系统，进行更多恶意操作。

值得注意的是，思科方面表示，无线局域网控制器 8.9 和更早的版本，以及 8.10.142.0 和更早的版本中不存在漏洞。如果用户使用的是 Cisco WLC 软件 8.10.151.0 版或 8.10.162.0 版，并且将 macfilter radius 兼容性配置为 Other，则漏洞会影响以下几款产品：

3504 无线控制器

5520 无线控制器

8540 无线控制器

Mobility Express，和虚拟无线控制器(vWLC)

为了解决漏洞问题，思科方面建议用户尽快更新到 8.10.171.0 版本。另外，思科公司强调，没有证据表明该漏洞在野外被积极利用。

思科修复其他漏洞

值得一提的是，本周，思科还修补了其他 14 个高严重性漏洞和 9 个中等严重性漏洞，这些漏洞主要影响思科 IOS XE/XR 和 SD-WAN vManage 软件，以及 Catalyst Digital Building 系列交换机和 Catalyst Micro 交换机。

参考文章：

https://thehackernews.com/2022/04/critical-auth-bypass-bug-reported-in.html