日前，思科發(fā)布了安全更新，修復(fù)了思科無(wú)線局域網(wǎng)控制器中發(fā)現(xiàn)的身份驗(yàn)證繞過(guò)漏洞。以下是漏洞詳情:

漏洞詳情

CVE—2022—20695 CVSS評(píng)分: 10 嚴(yán)重程度: 高危

思科無(wú)線 LAN 控制器 軟件的身份驗(yàn)證功能中存在漏洞，該漏洞可能允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者繞過(guò)身份驗(yàn)證控制并通過(guò)管理界面登錄設(shè)備

該漏洞是由于密碼驗(yàn)證算法實(shí)施不當(dāng)造成的攻擊者可以通過(guò)使用精心制作的憑據(jù)登錄受影響的設(shè)備來(lái)利用此漏洞成功的利用可能允許攻擊者繞過(guò)身份驗(yàn)證并以管理員身份登錄設(shè)備攻擊者可以獲得與管理用戶相同級(jí)別的權(quán)限，但這取決于精心制作的憑據(jù)

受影響產(chǎn)品

如果以下 Cisco 產(chǎn)品正在運(yùn)行 Cisco WLC 軟件版本 8.10.151.0 或版本 8.10.162.0 并且將macfilter radius 兼容性配置為Other ，則此漏洞會(huì)影響這些產(chǎn)品:

3504 Wireless Controller

5520 Wireless Controller

8540 Wireless Controller

Mobility Express

Virtual Wireless Controller

解決方案

Cisco Wireless LAN Controller 升級(jí)至 8.10.171.0及更新版本可修復(fù)

3，管理員現(xiàn)在可以使用RegistrationCampaignfeature注冊(cè)活動(dòng)功能，在用戶登錄期間引導(dǎo)用戶設(shè)置身份驗(yàn)證器。