Cisco TelePresence Collaboration Endpoint Software和RoomOS Software 安全漏洞

CNNVD-ID编号	CNNVD-202210-1465	CVE编号	CVE-2022-20776
发布时间	2022-10-19	更新时间	2022-10-21
漏洞类型	其他	漏洞来源	N/A
危险等级	中危	威胁类型	本地
厂商	N/A

漏洞介绍

Cisco RoomOS Software和Cisco TelePresence Collaboration Endpoint Software都是美国思科（Cisco）公司的产品。Cisco RoomOS Software是一套用于Cisco设备的自动管理软件。该软件主要用于升级、管理Cisco设备的主板固件。Cisco TelePresence Collaboration Endpoint Software是一套协作终端软件。 Cisco TelePresence Collaboration Endpoint Software和RoomOS Software存在安全漏洞，该漏洞源于对用户提供的输入的验证不充分，视频端点xAPI存在漏洞，可能允许经过身份验证的本地攻击者对受影响的设备进行目录遍历攻击。攻击者可以通过向xAPI发送精心设计的请求来利用此漏洞，成功的利用可能允许攻击者读取和写入系统中的任意文件，并将权限从管理员提升到root。

漏洞补丁

目前厂商已发布升级了Cisco TelePresence Collaboration Endpoint Software和RoomOS Software 安全漏洞的补丁，Cisco TelePresence Collaboration Endpoint Software和RoomOS Software 安全漏洞的补丁获取链接： https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-roomos-trav-beFvCcyu