این آسیبپذیریها که با عنوان CVE-2022-20777، CVE-2022-20779، و CVE-2022-20780 ردیابی میشوند، به مهاجم اجازه میدهند از guest virtual machine (VM) به ماشین میزبان برود و دستوراتی را که در سطح Root اجرا میشوند، تزریق کند.
Cyrille Chatras, Pierre Denouel, and Loïc Restoux از گروه Orange مسئولین گزارش این باگها معرفی شدهاند، آپدیتهای این آسیبپذیریها همراه با نسخه 4.7.1 منتشر شده است.
شرکت سیسکو گفت که این نقصها بر Cisco Enterprise NFVIS و بر پیکربندی پیشفرض تأثیر میگذارند. جزئیات سه آسیبپذیری به شرح زیر است:
CVE-2022-20777 (امتیاز CVSS: 9.9) - نقصی که به مهاجم احراز هویت شده و از راه دور اجازه میدهد تا از VM مهمان استفاده کند تا به دسترسی غیرمجاز در سطح root در هاست NFVIS برسد.
CVE-2022-20779 (امتیاز CVSS: 8.8) - یک نقص اعتبار سنجی در ورودیهای نامناسب است که به مهاجم از راه دور احراز هویت نشده اجازه میدهد تا دستوراتی را که در سطح روت در NFVIS در طول فرآیند image registration اجرا میشوند، تزریق کند.
CVE-2022-20780 (امتیاز CVSS: 7.4) - یک آسیبپذیری که میتواند به مهاجم از راه دور اجازه دهد تا به اطلاعات سیستم در هر VM پیکربندیشدهای دسترسی پیدا کند.
Cyrille Chatras, Pierre Denouel, and Loïc Restoux از گروه Orange مسئولین گزارش این باگها معرفی شدهاند، آپدیتهای این آسیبپذیریها همراه با نسخه 4.7.1 منتشر شده است.
شرکت سیسکو گفت که این نقصها بر Cisco Enterprise NFVIS و بر پیکربندی پیشفرض تأثیر میگذارند. جزئیات سه آسیبپذیری به شرح زیر است:
CVE-2022-20777 (امتیاز CVSS: 9.9) - نقصی که به مهاجم احراز هویت شده و از راه دور اجازه میدهد تا از VM مهمان استفاده کند تا به دسترسی غیرمجاز در سطح root در هاست NFVIS برسد.
CVE-2022-20779 (امتیاز CVSS: 8.8) - یک نقص اعتبار سنجی در ورودیهای نامناسب است که به مهاجم از راه دور احراز هویت نشده اجازه میدهد تا دستوراتی را که در سطح روت در NFVIS در طول فرآیند image registration اجرا میشوند، تزریق کند.
CVE-2022-20780 (امتیاز CVSS: 7.4) - یک آسیبپذیری که میتواند به مهاجم از راه دور اجازه دهد تا به اطلاعات سیستم در هر VM پیکربندیشدهای دسترسی پیدا کند.