思科(Cisco)于上周修补了涉及多款无线网络控制器的身份认证绕过漏洞CVE-2022-20695,将允许黑客通过管理接口登录设备,其CVSS风险评分高达10。
思科解释,CVE-2022-20695起因于密码验证算法的实施不当,使得黑客只要借由特定的凭证便能登录受影响的设备,成功的开采即可绕过身份认证并以管理权限登录设备。
该漏洞波及3504 Wireless Controller、3504 Wireless Controller、8540 Wireless Controller、Mobility Express与Virtual Wireless Controller等产品。
不过,该漏洞并不存在于采用默认配置的设备,思科则提供了一行命令以供用户判断设备配置是否含有漏洞。