思科曝9.9分关键权限提升漏洞
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
思科发布软件更新,修复了关键安全漏洞CVE-2025-20156(CVSS评分9.9),该漏洞允许攻击者获取管理员权限,影响版本包括3.9和3.8,3.10不受影响。此外,思科还修复了BroadWorks的DoS漏洞和ClamAV的整数下溢错误。美国CISA和FBI公布了Ivanti云服务的利用链细节,涉及多个漏洞。
🎯
关键要点
- 思科发布软件更新,修复关键安全漏洞CVE-2025-20156,CVSS评分9.9,允许攻击者获取管理员权限。
- 受影响的版本包括思科会议管理发布版本3.9和3.8,3.10不受影响。
- 思科还修复了BroadWorks的DoS漏洞(CVE-2025-20165,CVSS评分7.5),源于对SIP请求的内存处理不当。
- 第三个修复的漏洞是CVE-2025-20128(CVSS评分5.3),影响ClamAV的整数下溢错误,可能引发DoS情况。
- 美国CISA和FBI公布Ivanti云服务的利用链细节,涉及多个漏洞,包括管理绕过和SQL注入漏洞。
- 攻击者利用这些漏洞获取初始访问权限、执行远程代码执行,并试图植入Web shell以保持持久性。
➡️
