قامت Cisco Systems أمس الأربعاء بشحن تصحيحات الأمان لاحتواء ثلاثة عيوب تؤثر على برنامج Enterprise NFV Infrastructure ( NFVIS ) الخاص بها والذي قد يسمح للمهاجمين بالتسوية الكاملة والسيطرة على المضيفين.
تم تتبعها كـ CVE-2022-20777 و CVE-2022-20779 و CVE-2022-20780 ، وقد تسمح الثغرات الأمنية "للمهاجم بالهروب من الجهاز الظاهري الضيف (VM) إلى الجهاز المضيف ، وإدخال الأوامر التي يتم تنفيذها، أو تسريب بيانات النظام من المضيف إلى الجهاز الافتراضي ".
تم اعتماد Cyrille Chatras ،Pierre Denouel، وLoïc Restoux من مجموعة Orange Group، في اكتشاف المشكلات والإبلاغ عنها. تم إصدار التحديثات في الإصدار 4.7.1.
قالت شركة معدات الشبكات إن الثغرات تؤثر على Cisco Enterprise NFVIS في التكوين الافتراضي. تفاصيل الثغرات الثلاثة هي كما يلي.
CVE-2022-20777 (درجة CVSS: 9.9) - مشكلة تتعلق بقيود الضيف غير الكافية والتي تسمح لمهاجم عن بُعد مصادق عليه بالهروب من الضيف الظاهري للحصول على وصول غير مصرح به إلى مستوى الجذر على مضيف NFVIS.
CVE-2022-20779 (درجة CVSS: 8.8) - ثغرة غير صحيحة في التحقق من صحة الإدخال تسمح لمهاجم بعيد غير مصادق بإدخال أوامر يتم تنفيذها على مستوى الجذر على مضيف NFVIS أثناء عملية تسجيل الصورة.
CVE-2022-20780 (درجة CVSS: 7.4) - ثغرة أمنية في وظيفة الاستيراد لـ Cisco Enterprise NFVIS قد تسمح لمهاجم بعيد غير مصادق عليه بالوصول إلى معلومات النظام من المضيف على أي جهاز افتراضي تم تكوينه.
