思科修复了允许攻击者以root身份执行命令的BUG

发布时间：2025-12-07 14:50:11 作者：玩站小弟

近期，思科解决了Cisco Nexus Dashboard数据中心管理解决方案中的严重漏洞，这些漏洞可让远程攻击者以root或管理员权限执行命令和操作。第一个安全漏洞被评为严重严重性漏洞，编号为 CV 。

近期，思科t身思科解决了Cisco Nexus Dashboard数据中心管理解决方案中的修复行命严重漏洞，这些漏洞可让远程攻击者以root或管理员权限执行命令和操作。允许

第一个安全漏洞（被评为严重严重性漏洞，攻击编号为 CVE-2022-20857）使未经身份验证的份执威胁参与者能够通过发送HTTP 请求来访问API，并以root 权限远程执行任意命令。思科t身

第二个漏洞（Web UI 中的修复行命一个高严重性漏洞，服务器租用编号为 CVE-2022-20861）允许远程攻击者通过欺骗经过身份验证的允许管理员单击恶意链接来进行跨站点请求伪造攻击。

对此，攻击思科也作出了解释，份执利用该漏洞可能允许攻击者在受影响的思科t身设备上以管理员权限执行操作。而近期修补的修复行命另一个高严重性安全漏洞 (CVE-2022-20858) 可以让未经身份验证的远程攻击者通过打开与容器镜像管理服务的香港云服务器TCP连接来下载容器镜像或将恶意镜像上传到受影响的设备。幸运的允许是，正如思科在发布的攻击安全公告中解释的那样，恶意图像将在设备重启或Pod重启后运行。亿华云份执不过这些漏洞影响Cisco Nexus Dashboard 1.1及更高版本。思科已解决近期发布的2.2(1e)安全更新中的漏洞，并建议客户尽快迁移到固定版本。

这些安全漏洞是由思科高级安全计划小组 (ASIG) 的安全研究人员在内部安全测试期间发现的。免费模板思科的产品安全事件响应团队 (PSIRT) 表示，目前暂不知道公开可用的漏洞利用或在野外的积极利用。同时思科还修补了Cisco Nexus 仪表板的SSL/TLS实施中的第四个漏洞 (CVE-2022-20860)，该漏洞可能让未经身份验证的云计算远程威胁参与者通过拦截中间人攻击中的流量来改变通信，利用该漏洞还可能允许攻击者查看敏感信息，包括受影响控制器的管理员凭据。思科表示之所以存在此漏洞，是因为当 Cisco Nexus Dashboard 与 Cisco 应用策略基础设施控制器 (APIC)、Cisco Cloud APIC 或 Cisco Nexus Dashboard Fabric Controller（以前的源码下载数据中心网络管理器 (DCNM) 控制器）建立连接时，未验证 SSL 服务器证书。

Tag：

竟然是你偷走了那0.001的服务可用性
背景前段时间同学反映我们活动项目某个服务可用性出现抖动，偶尔低于0.999。虽然看起来3个9的可用性相当高，但是对于一个 10w+ qps 的服务来讲，影响面就会被放大到不可接受的状态。最大的影响就是
2025-12-07
w10开机蓝屏0xc000001怎么办
我们在使用win10操作系统电脑的时候，有些小伙伴在日常使用过程中可能就会遇到系统开机就出现蓝屏，并且提示错误代码的情况。对于这种问题小编觉得可能是因为我们在使用的时候系统出现了一些故障，可以尝试通过
2025-12-07
windows10哪个版本最简洁流畅稳定
我们在使用win10操作系统的时候，有些情况下可能会想要重装自己的操作系统。那么很多小伙伴对于微软公司推出的各类版本很多人想要知道windows10哪个版本最简洁流畅稳定。那么对于这个问题小编觉得其实
2025-12-07
win10开机启动项设置教程
最近很多用户在问小编开机启动项怎么设置，其实设置起来非常的简单，只要通过设置成自动启动就可以开机自动运行了，下面来一起看看详细的教程吧。win10开机启动项设置教程点击快捷键“win+r”，打开运行窗
2025-12-07
安全研究员发现漏洞群，允许黑客逃离 Docker 和 runc 容器
BleepingComputer网站消息，2023 年 11 月，Snyk 安全研究员 Rory McNamara 发现了四个统称为 "Leaky Vessels "的漏洞群。据悉，这些漏洞允许威胁攻
2025-12-07
win10iso镜像系统在哪下载
我们在使用win10操作系统的时候，有些情况下可能就会遇到重装系统的情况。那么对于win10iso镜像系统在哪下载的问题，小编觉得我们可以找一个比较靠谱安全的系统网站进行系统的下载，比如电脑技术网 T
2025-12-07