云安全日报220506：思科企业NFV基础架构软件发现访客逃逸漏洞,需要尽快升级

Cisco Enterprise NFV Infrastructure Software（NFVIS）是思科公司的一套NFV基础架构软件平台。该平台可以通过中央协调器和控制器实现虚拟化服务的全生命周期管理。9eY28资讯网——每日最新资讯28at.com

5月4日,思科发布了安全公告,思科企业NFV基础架构软件平台发现虚拟机逃逸漏洞,建议尽快升级。以下是漏洞详情：9eY28资讯网——每日最新资讯28at.com

漏洞详情9eY28资讯网——每日最新资讯28at.com

来源：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-NFVIS-MUL-7DySRX99eY28资讯网——每日最新资讯28at.com

1.CVE-2022-20777 CVSS评分：9.9 严重9eY28资讯网——每日最新资讯28at.com

思科企业 NFVIS 的下一代输入/输出 (NGIO) 功能中的一个漏洞,使得经过身份验证的远程攻击者能够从来宾VM中逃逸，从而在 NFVIS 主机上获得未经授权的Root访问权限。9eY28资讯网——每日最新资讯28at.com

此漏洞是由于来宾限制不足造成的。攻击者可以通过从 VM 发送 API 调用来利用此漏洞，该调用将在 NFVIS 主机上以root级权限执行。成功的利用可以让攻击者完全破坏 NFVIS 主机。9eY28资讯网——每日最新资讯28at.com

2.CVE-2022-20779 CVSS评分：8.8 高9eY28资讯网——每日最新资讯28at.com

思科企业 NFVIS 映像注册过程中的漏洞可能允许未经身份验证的远程攻击者在映像注册过程中注入在 NFVIS 主机的Root级别执行的命令。9eY28资讯网——每日最新资讯28at.com

此漏洞是由于输入验证不当造成的。攻击者可以通过说服主机上的管理员安装带有精心制作的元数据的 VM 映像来利用此漏洞，该元数据将在 VM 注册过程中以root级权限执行命令。成功的利用可能允许攻击者将具有root级别权限的命令注入 NFVIS 主机。9eY28资讯网——每日最新资讯28at.com

3.CVE-2022-20780 CVSS评分：7.4 高9eY28资讯网——每日最新资讯28at.com

思科企业 NFVIS 导入功能中的漏洞可能允许未经身份验证的远程攻击者将系统数据从主机泄漏到任何已配置的虚拟机。9eY28资讯网——每日最新资讯28at.com

此漏洞是由于 XML 解析器中的外部实体解析造成的。攻击者可以通过说服管理员导入一个精心制作的文件来利用此漏洞，该文件将从主机读取数据并将其写入任何已配置的 VM。成功的利用可能允许攻击者在任何已配置的 VM 上从主机访问系统信息，例如包含用户数据的文件。9eY28资讯网——每日最新资讯28at.com

受影响产品9eY28资讯网——每日最新资讯28at.com

Cisco Enterprise NFVIS 4.7.1之前软件版本9eY28资讯网——每日最新资讯28at.com

解决方案9eY28资讯网——每日最新资讯28at.com

Cisco Enterprise NFVIS 升级至4.7.1版本可修复此漏洞。9eY28资讯网——每日最新资讯28at.com

查看更多漏洞信息 以及升级请访问官网：9eY28资讯网——每日最新资讯28at.com

https://tools.cisco.com/security/center/publicationListing.x9eY28资讯网——每日最新资讯28at.com

本文链接：http://www.28at.com/showinfo-119-2311-0.html云安全日报220506：思科企业NFV基础架构软件发现访客逃逸漏洞,需要尽快升级

声明：本网页内容旨在传播知识，若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。邮件：2376512515@qq.com

上一篇： 云计算开发：Python3数学函数log()方法详解

下一篇： 可以吃的「逻辑门」：这些科学家把甜点做成了「迷你计算机」