Cisco Enterprise NFV Infrastructure Software（NFVIS）是思科公司的一套NFV基礎架構軟件平臺。該平臺可以通過中央協調器和控制器實現虛擬化服務的全生命周期管理。fmA28資訊網——每日最新資訊28at.com

5月4日,思科發布了安全公告,思科企業NFV基礎架構軟件平臺發現虛擬機逃逸漏洞,建議盡快升級。以下是漏洞詳情：fmA28資訊網——每日最新資訊28at.com

漏洞詳情fmA28資訊網——每日最新資訊28at.com

來源：https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-NFVIS-MUL-7DySRX9fmA28資訊網——每日最新資訊28at.com

1.CVE-2022-20777 CVSS評分：9.9 嚴重fmA28資訊網——每日最新資訊28at.com

思科企業 NFVIS 的下一代輸入/輸出 (NGIO) 功能中的一個漏洞,使得經過身份驗證的遠程攻擊者能夠從來賓VM中逃逸，從而在 NFVIS 主機上獲得未經授權的Root訪問權限。fmA28資訊網——每日最新資訊28at.com

此漏洞是由于來賓限制不足造成的。攻擊者可以通過從 VM 發送 API 調用來利用此漏洞，該調用將在 NFVIS 主機上以root級權限執行。成功的利用可以讓攻擊者完全破壞 NFVIS 主機。fmA28資訊網——每日最新資訊28at.com

2.CVE-2022-20779 CVSS評分：8.8 高fmA28資訊網——每日最新資訊28at.com

思科企業 NFVIS 映像注冊過程中的漏洞可能允許未經身份驗證的遠程攻擊者在映像注冊過程中注入在 NFVIS 主機的Root級別執行的命令。fmA28資訊網——每日最新資訊28at.com

此漏洞是由于輸入驗證不當造成的。攻擊者可以通過說服主機上的管理員安裝帶有精心制作的元數據的 VM 映像來利用此漏洞，該元數據將在 VM 注冊過程中以root級權限執行命令。成功的利用可能允許攻擊者將具有root級別權限的命令注入 NFVIS 主機。fmA28資訊網——每日最新資訊28at.com

3.CVE-2022-20780 CVSS評分：7.4 高fmA28資訊網——每日最新資訊28at.com

思科企業 NFVIS 導入功能中的漏洞可能允許未經身份驗證的遠程攻擊者將系統數據從主機泄漏到任何已配置的虛擬機。fmA28資訊網——每日最新資訊28at.com

此漏洞是由于 XML 解析器中的外部實體解析造成的。攻擊者可以通過說服管理員導入一個精心制作的文件來利用此漏洞，該文件將從主機讀取數據并將其寫入任何已配置的 VM。成功的利用可能允許攻擊者在任何已配置的 VM 上從主機訪問系統信息，例如包含用戶數據的文件。fmA28資訊網——每日最新資訊28at.com

受影響產品fmA28資訊網——每日最新資訊28at.com

Cisco Enterprise NFVIS 4.7.1之前軟件版本fmA28資訊網——每日最新資訊28at.com

解決方案fmA28資訊網——每日最新資訊28at.com

Cisco Enterprise NFVIS 升級至4.7.1版本可修復此漏洞。fmA28資訊網——每日最新資訊28at.com

查看更多漏洞信息 以及升級請訪問官網：fmA28資訊網——每日最新資訊28at.com

https://tools.cisco.com/security/center/publicationListing.xfmA28資訊網——每日最新資訊28at.com

本文鏈接：http://www.www897cc.com/showinfo-119-2311-0.html云安全日報220506：思科企業NFV基礎架構軟件發現訪客逃逸漏洞,需要盡快升級

聲明：本網頁內容旨在傳播知識，若有侵權等問題請及時與本網聯系，我們將在第一時間刪除處理。郵件：2376512515@qq.com

上一篇： 云計算開發：Python3數學函數log()方法詳解

下一篇： 可以吃的「邏輯門」：這些科學家把甜點做成了「迷你計算機」