云安全日报220421：思科虚拟化基础设施管理器软

Cisco Virtualized Infrastructure Manager (VIM)是思科公司一款虚拟化基础设施管理器软件。4月20日,思科发布了安全更新，修复了思科虚拟化基础设施管理器软件中发现的身份验证绕过导致权限提升的高危漏洞。以下是漏洞详情

漏洞详情

来源https://tools.cisco./security/center/content/CiscoSecurityAdvisory/cisco-sa-vim-privesc-T2tsFUf

CVE-2022-20732 CVSS评分: 7.8 严重程度: 高

Cisco Virtualized Infrastructure Manager (VIM) 的配置文件保护中的一个漏洞可能允许经过身份验证的本地攻击者访问机密信息并提升受影响设备的权限。

此漏洞是由于某些配置文件的访问权限不正确造成的。具有低权限凭据的攻击者可以通过访问受影响的设备并读取受影响的配置文件来利用此漏洞。成功的利用可以让攻击者获得内部数据库凭据，攻击者可以使用这些凭据来查看和修改数据库的内容。攻击者可以使用这种对数据库的访问来提升受影响设备的权限。

受影响产品

Cisco Virtualized Infrastructure Manager (VIM) 3.6及更早版本

Cisco Virtualized Infrastructure Manager (VIM) 4.0.0版本

解决方案

Cisco Virtualized Infrastructure Manager (VIM)升级至4.2.2版本可修复

查看更多漏洞信息 以及升级请访问官网

https://tools.cisco./security/center/publicationListing.x