7月7日,某厂商发布了安全更新,修复了某系列与视频通信服务器中发现的远程攻击漏洞。以下为漏洞要点与应对要点:
漏洞要点
1.CVE-2022-20812 CVSS评分:9.0 严重程度:重要
该厂商的集群数据库 API 中存在一个漏洞,经过身份验证的远程攻击者可能获得应用的管理员读写权限,从而对受影响设备执行绝对路径遍历并覆盖底层操作系统上的文件根用户。此漏洞源于对用户输入参数的校验不足。攻击者可通过以管理读写身份进行身份验证并提交经过精心设计的输入来利用该漏洞。成功利用可能使攻击者以 Root 身份覆盖底层操作系统上的任意文件。
2.CVE-2022-20813 CVSS评分:7.4 严重程度:高
证书验证环节存在漏洞,可能允许未经身份验证的远程攻击者拦截设备之间的流量并伪装端点,以获取敏感数据。漏洞原因为证书验证不正确。攻击者可利用中间人技术拦截流量,并通过伪造的证书来模拟端点。成功利用可能使攻击者以明文形式查看截获的流量或篡改流量内容。
受影响的产品
上述漏洞影响在默认配置下的该系列视频通信设备及其 VCS 版本 14.0 及以下版本。
解决方案
升级至 14.0.7 版本即可修复相关漏洞。
如需查看更多漏洞信息和升级,请访问官方网站。
注:本文仅供安全研究与防护参考,实际升级请以厂商官方公告为准。 [[[IMG_1]]][[[IMG_2]]][[[IMG_3]]]
