以9.9的CVSS分数领先的是CVE-2022-20777,它与下一代输入/输出功能中的一个错误有关,该错误允许经过身份验证的远程攻击者跳出来宾虚拟机并以root身份在主机上运行命令API调用。思科显然指出,这种访问可能会完全危及主机。
对于未经身份验证的远程攻击者,CVSS得分为8.8的CVE-2022-20779允许运行root命令,前提是可以说服管理员安装带有精心制作的元数据的VM映像,这些元数据将在VM注册时执行命令。
最后是一个名为CVE-2022-20780的漏洞,其CVSS评分为7.4,存在于XML解析器中,可能会泄露系统数据。
距离和宽度,从而为他们提供灵活的选择以根据需要进行扩展。”
“攻击者可以通过说服管理员导入一个精心制作的文件来利用此漏洞,该文件将从主机读取数据并将其写入任何配置的VM,”思科说。
“成功的利用可能允许攻击者从主机访问系统信息,例如包含用户数据的文件,在任何配置的VM上。”
过去一个月,思科在安全方面一直备受关注,自4月13日以来出现或更新了64个漏洞。
其中,由于攻击者能够绕过密码验证,思科无线局域网控制器中的一个漏洞获得了满分10的CVSS分数。
“攻击者可以通过使用精心制作的凭据登录到受影响的设备来利用此漏洞,”该公司表示。
“成功的利用可能允许攻击者绕过身份验证并以管理员身份登录设备。攻击者可以获得与管理用户相同级别的特权,但这取决于制作的凭据。”
为了容易受到攻击,设备需要将MAC过滤器半径兼容性选项设置为其他。
同时,思科表示已与客户就与网络问题相关的预测模型进行了测试。
“思科预测网络通过从无数遥测来源收集数据来工作。一旦集成,它就会使用各种模型学习模式并开始预测用户体验问题,提供解决问题的选项,”该公司表示。