思科曝9.9分关键权限提升漏洞
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
思科发布软件更新,修复了关键安全漏洞CVE-2025-20156(CVSS评分9.9),该漏洞允许攻击者获取管理员权限,影响版本包括3.9和3.8,3.10不受影响。此外,思科还修复了BroadWorks的DoS漏洞和ClamAV的整数下溢错误。美国CISA和FBI公布了Ivanti云服务的利用链细节,涉及多个漏洞。
🎯
关键要点
- 思科发布软件更新,修复关键安全漏洞CVE-2025-20156,CVSS评分9.9,允许攻击者获取管理员权限。
- 受影响的版本包括思科会议管理发布版本3.9和3.8,3.10不受影响。
- 思科还修复了BroadWorks的DoS漏洞(CVE-2025-20165,CVSS评分7.5),源于对SIP请求的内存处理不当。
- 第三个修复的漏洞是CVE-2025-20128(CVSS评分5.3),影响ClamAV的整数下溢错误,可能引发DoS情况。
- 美国CISA和FBI公布Ivanti云服务的利用链细节,涉及多个漏洞,包括管理绕过和SQL注入漏洞。
- 攻击者利用这些漏洞获取初始访问权限、执行远程代码执行,并试图植入Web shell以保持持久性。
❓
延伸问答
思科修复了哪些关键安全漏洞?
思科修复了CVE-2025-20156、CVE-2025-20165和CVE-2025-20128三个关键安全漏洞。
CVE-2025-20156漏洞的影响是什么?
CVE-2025-20156漏洞允许攻击者获取思科会议管理的管理员权限,CVSS评分为9.9。
哪些版本的思科会议管理受到CVE-2025-20156漏洞的影响?
受影响的版本包括思科会议管理发布版本3.9和3.8,3.10版本不受影响。
CVE-2025-20165漏洞的性质是什么?
CVE-2025-20165是一个拒绝服务(DoS)漏洞,源于对SIP请求的内存处理不当,CVSS评分为7.5。
思科还修复了哪些其他漏洞?
思科还修复了CVE-2025-20128漏洞,该漏洞影响ClamAV的整数下溢错误,CVSS评分为5.3。
美国CISA和FBI公布了哪些关于Ivanti云服务的漏洞信息?
CISA和FBI公布了Ivanti云服务的利用链细节,涉及管理绕过和SQL注入等多个漏洞。
➡️
