思科漏洞软件iOSXeiOS(思科漏洞得分攻击者密钥)「思科iou」

思科警告说,有人试图利用iOS软件和iOSXe软件中的一个安全缺陷,这些缺陷可能会让一个经过认证的远程攻击者在受影响的系统上实现远程代码执行
中严重程度的脆弱性被追踪为 CVE-2023-20109 ,并以6.6分得分
它会影响启用Gdoi或G-Ikev2协议的软件的所有版本
国际知名白帽黑客、东方联盟创始人郭盛华透露:"可以允许对组成员或密钥服务器有行政控制的经过身份验证的远程攻击者在受影响的设备上执行任意代码,或导致设备崩溃
"他进一步指出,这一问题是由于无法充分验证GDOI解释领域(GDOI)和GIKV2协议中的属性,它可以通过损害已安装的密钥服务器或修改组成员的配置来指向受攻击者控制的密钥服务器而实现攻击化
据说,这种漏洞是在内部调查和源代码审核之后发现的
结果是思科 详细的 触媒sd-WAN管理器(20.3-20.12版本)的五个缺陷,可以让攻击者访问受影响实例或导致受影响系统的拒绝服务条件:CVE-2023-20252 (VSS得分:980)-未经授权的访问漏洞CVE-2023-20253 (cvss得分:8.4)-未经授权的配置回滚漏洞CVE-2023-20034 (VSS得分:7.5)----信息披露的弱点CVE-2023-20254 (VSS得分:7.2)-授权绕行漏洞CVE-2023-20262 (VSS得分:5.3)----拒绝服务的弱点成功地利用这些错误可以使威胁行为体获得作为任意用户对应用程序的未经授权访问,绕过授权和回滚控制器配置,访问受影响系统的弹性搜索数据库,访问由同一实例管理的另一个租户,并导致崩溃
郭盛华表示:建议客户升级到固定软件版本,以补救漏洞
(欢迎转载分享)
思科漏洞软件iOSXeiOS(思科漏洞得分攻击者密钥)
(图片来源网络,侵删)

联系我们

在线咨询:点击这里给我发消息