Cisco周二发布了补丁来修复三处安全隐患，包括本月底在NVIDIA的数据平面开发套件（MLNX_DPDK）中公布的高危漏洞。

此安全问题影响到CVE-2022-28199（CVSS评分为8.6），该漏洞存在于DPDK的网络堆栈中，存在错误处理不足的情况，导致远程攻击者能够触发拒绝服务 (DoS) 条件，并且还有可能对数据完整性和机密性造成破坏。

“如若在设备接口上检测出异常情形，则可能促使设备执行重新加载或是无法接收到流量的行为，进而导致遭遇拒绝服务(DoS)状况的发生”，在 9 月 7 日的公告中思科提出了警告。

DPDK是专门设计用来改善数据包处理性能的一组API和优化的网卡驱动程序。它们可以提供给高速网络应用一个封装了通用API的快速处理框架。

Cisco 表示已对产品组合进行审查，并确认受到影响的服务包括以下网络设备供应商推出软件补丁。

思科 Catalyst 8000V 边缘软件 自适应安全虚拟设备 (ASAv)，以及 Secure Firewall Threat Defense Virtual（以前称为 FTDv）

除了CVE-2022-28199之外思科还解决了其Cisco SD-WAN vManage软件中的一个安全漏洞，该漏洞可能“允许未经授权的邻近攻击者通过访问VPN0逻辑网络来访问受影响系统的消息服务端口”。私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596

该公司认为该错误是由于在消息服务器客户端程序端口中缺少足够的防护措施导致的 —— 分配了标识符CVE-2022-20696（CVSS评分：7.5） — — 正确地归咎于Orange Business的一份报告。

思科称，成功利用该漏洞将可能让黑客读取和插入消息，并且可能会引发对网络设置的更改或系统重新启动。

思科修复了第二个安全漏洞。这个漏洞是Webex应用程序消息接口中的问题，该接口是一个软件系统用于处理与会者和管理员之间的通信的应用程序界面。CVE-2022-14757，一个CVSS评分的4.3分（中危级别），意味着可能通过远程攻击以身份验证未授权的方式修改链接或内容，并执行钓鱼攻击。

“由于这些软件程序未妥善处理字体渲染，所以存在了这个问题”。攻击者可以利用这一问题，在应用程序界面中向系统发送信息。

思科感谢币安红队的 Rex、Bruce 私家侦探，侦探公司，调查公司，查人找物，商务调查，出轨外遇调查，婚外情调查，私人调查，19209219596和 Zachery 发现并报告了该漏洞。

此外，Cisco 尚未对此缺陷进行修复，尽管其正在开发新产品的过程中，并且预计在推出后将其发布。

Cisco未公布也无意发布更新解决这个漏洞，该科技公司建议用户转移到其小型型企业路由器RV132W、RV160或RV160W。

CVE-2022-20923描述

Cisco Small Business RV110W、RV130、RV130W 和 RV215W 路由器中IPSec VPN 服务器的身份验证功能存在一个安全漏洞，允许未经授权的远程攻击者绕过身份验证控制并访问 IPSec VPN 网络。该漏洞源于密码验证算法使用的不当。攻击者可以利用此漏洞从受影响的设备登录到VPN并获取与管理用户相同级别的权限。思科尚未发布针对此问题的安全更新。