思科和VMware修復關鍵漏洞，使用者應盡速更新

2023 / 06 / 12

編輯部

VMware發佈安全更新，修復Aria Operations for Networks中可能導致資訊洩露和遠端程式碼執行的三個漏洞。這三個漏洞中最關鍵的是被追蹤為CVE-2023-20887的命令注入漏洞（CVSS評分：9.8），具備網路存取權限的惡意駭客可執行遠端程式碼。

VMware還修補另一個反序列化漏洞CVE-2023-20888 ( CVSS評分: 9.1)。VMware公告表示，擁有對VMware Aria Operations for Networks的網路存取權的的惡意行為者能夠利用CVE-2023-20888進行反序列化攻擊，導致遠端程式碼執行。

第三個安全性漏洞是一個高嚴重度的資訊洩漏漏洞CVE-2023-20889（CVSS評分：8.8），可以允許具有網路存取權限的攻擊者執行命令注入攻擊並存取敏感資料。

這三個影響VMware Aria Operations Networks 6.x版本的漏洞已在以下版本中修復： 6.2、6.3、6.4、6.5.1、6.6、6.7、6.8、6.9和6.10。

此外，思科也修復其Expressway系列和網管系統Video Communication Server (VCS)中的一個關鍵漏洞CVE-2023-20105（CVSS評分：9.6）。該漏洞允許具有管理員級別唯讀憑證的攻擊者在受影響的系統上將其許可權提升到具有讀寫憑證的管理員。思科表示，這個特權升級漏洞源於對密碼更改請求的不規範處理，從而允許攻擊者改變系統上任何使用者的密碼，包括管理讀寫用戶，然後冒充該用戶。

同一產品中的第二個高危險漏洞CVE-2023-20192（CVSS評分：8.4）可以允許一個經過驗證的本機攻擊者執行命令和修改系統組態參數。思科建議用戶禁止唯讀用戶的CLI訪問，以避免CVE-2023-20192被利用。目前這兩個漏洞已分別在VCS 14.2.1和14.3.0版本中解決。

雖然沒有證據表明上述任何漏洞在野被濫用，但仍強烈建議儘快更新到安全的版本以減少潛在風險。

命令注入漏洞 RCE漏洞特權提升漏洞