思科在其通信、网络产品中修复了两个严重缺陷

思科宣布，它已经解决了影响其一些网络和通信产品的严重脆弱性，包括企业NFV、高速公路和遥现。

IT巨头发布的公告称，”思科高速公路系列软件和思科网真视频通信服务器( VCS )软件的API和基于Web的管理界面中存在多个漏洞，可使远程攻击者绕过证书验证或对受影响设备进行跨站点请求伪造攻击”。

第一个漏洞被跟踪为CVE – 2022 – 20814，是一个不正确的证书验证问题，一个远程的、未经验证的攻击者可以通过中间人攻击触发它访问敏感数据。

Cisco Highway – C和思科网真VCS的证书验证中存在一个漏洞，使得未经验证的远程攻击者能够获得对敏感数据的非授权访问。

该漏洞是由于在建立到Cisco Unified Communications Manager设备的连接时，未对受影响设备的SSL服务器证书进行验证造成的。

攻击者可以通过使用中间人技术拦截设备之间的通信量，然后使用自签名证书模拟端点来利用此漏洞。成功的攻击可以让攻击者以明文查看截获的流量或改变流量的内容。

该缺陷不会影响思科高速公路- E。

第二个问题是跟踪CVE – 2022 – 20853，这是一个跨站点请求伪造( CSRF )，可以通过诱骗用户点击巧尽心思构建的链接来利用它来造成拒绝服务( DoS )条件。

Cisco Highway Series和思科网真VCS的REST API中存在一个漏洞，使得未经验证的远程攻击者能够对受影响的系统进行跨站点请求伪造( CSRF )攻击。此漏洞是由于受影响系统的基于Web的管理界面的CSRF保护不足造成的。攻击者可以通过说服REST API的用户跟踪精心编制的链接来利用此漏洞。成功利用漏洞可让攻击者导致受影响的系统重新加载。”

思科PSIRT并未发现任何利用这些漏洞的公开声明或攻击。