CE9.x升级至9.15.17(2023年4月发布),CE10.x升级至10.19.4
2025-05-218
详细总结
一、安全公告概述
发布时间:2023年3月7日
影响产品:
CiscoTelePresenceCE软件
云托管的RoomOS软件(cloud-awareon-premisesoperation)
漏洞等级:中等(Medium),CVSS基础评分均为4.4
二、漏洞详情
| 漏洞标识 | CVE-2023-20002 | CVE-2023-20008 |
|---|---|---|
| 漏洞类型 | 服务器端请求伪造(SSRF) | 任意文件写入(ArbitraryFileWrite) |
| 根本原因 | 用户输入验证不当 | 本地文件系统访问控制缺陷 |
| 攻击条件 | 已认证的本地攻击者 | 已认证的本地攻击者 |
| 影响后果 | 绕过访问控制,发起任意网络请求 | 覆盖设备本地任意文件 |
| 受影响产品例外 | 无 | 不影响DX70、DX80、MX/SX系列设备 |
| 修复方式 | 升级至固定版本 | 升级至固定版本 |
三、修复版本信息
CVE-2023-20002修复版本
| 软件版本 | 首次修复版本 | 发布时间 |
|---|---|---|
| CE9.x | 9.15.17 | 2023年4月 |
| CE10.x | 10.19.4 | 未明确时间 |
CVE-2023-20008修复版本
| 软件版本 | 首次修复版本 | 说明 |
|---|---|---|
| CE9.x | 需迁移至固定版本 | 无具体版本号 |
| CE10.x | 10.19.3.0 | 直接升级 |
四、其他关键信息
替代方案:无可用替代解决方案(Noworkaroundsavailable)
技术支持:建议联系Cisco技术支持中心(TAC)或维护提供商确认升级细节
漏洞发现:均由Cisco高级安全计划小组(ASIG)内部测试发现
公开利用:截至公告发布,无公开利用或恶意攻击报告
关键问题
- 问:本次公告中提到的两个漏洞影响哪些具体产品?
答:影响CiscoTelePresenceCE软件和云托管的RoomOS软件,其中CVE-2023-20008不影响DX70、DX80、MX/SX系列设备。 - 问:如何修复这两个漏洞?对应的首次修复版本是什么?
答:需升级至固定版本: CVE-2023-20002:CE9.x升级至9.15.17(2023年4月发布),CE10.x升级至10.19.4
CVE-2023-20008:CE10.x升级至10.19.3.0,CE9.x需迁移至固定版本(无具体版本号)
- 问:这两个漏洞的风险等级和技术成因分别是什么?
答: CVE-2023-20002:用户输入验证不当导致SSRF攻击
CVE-2023-20008:本地文件系统访问控制缺陷允许任意文件覆盖
风险等级:均为中等(Medium),CVSS基础评分4.4
技术成因: