Cisco устранила опасную уязвимость в своем программно-аппаратном комплексе Web Security Appliance
Уязвимость позволяет удаленному злоумышленнику повысить привилегии в AsyncOS.
Уязвимость, отслеживаемая под идентификатором CVE-2022-20871 , может быть использована удаленным злоумышленником для внедрения команд ОС и повышения привилегий до уровня root. Чтобы успешно использовать уязвимость , хакер должен авторизоваться в системе и отправить поддельный HTTP-пакет на уязвимое устройство.
По данным Cisco, уязвимость возникает из-за неправильной проверки ввода для веб-интерфейса. Компания устранила CVE-2022-20871 в релизе AsyncOS для Secure Web Appliance версии 14.5.0-537. Кроме того, Cisco планирует выпустить обновления для версий 12.5 и 14.0.
Обходных путей для устранения уязвимости не существует, поэтому компания призывает клиентов как можно скорее установить доступные исправления.
Напомним, не так давно Cisco исправила опасную уязвимость, раскрывающую RSA-ключ. Даже недействительный или поврежденный RSA-ключ может расшифровать трафик устройства.