漏洞风险提示（20220117）

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Cisco Unified CCMP/CCDM权限提升漏洞（CVE-2022-20658）
一、漏洞描述：
       
        Cisco Unified Contact Center Management Portal和Cisco Unified Contact Center Domain Manager都是美国思科（Cisco）公司的产品。Cisco Unified Contact Center Management Portal是一个直观且安全的基于 Web 的应用程序，允许主管和经理实时满足对联络中心的复杂和多变的需求，使联络中心的管理比以往任何时候都更加轻松和高效。Cisco Unified Contact Center Domain Manager是一个基于浏览器的管理应用程序，专为呼叫中心/系统管理员设计。
        此漏洞是由于缺乏对用户权限的服务器端验证。攻击者可以通过向易受攻击的系统提交精心设计的 HTTP 请求来利用此漏洞。成功的利用可能允许攻击者创建管理员帐户。使用这些帐户，攻击者可以访问和修改与易受攻击的 Cisco Unified CCMP 关联的所有统一平台上的电话和用户资源。要成功利用此漏洞，攻击者需要有效的高级用户凭据。
二、风险等级：
          高危
三、影响范围：
        如果Cisco Unified CCMP 和 Cisco Unified CCDM 使用默认配置运行，此漏洞会影响它们
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.cisco.com/c/en/us/su ... dwide-contacts.html

---

2 Mozilla Firefox全屏欺骗漏洞（CVE-2022-22743）
一、漏洞描述：
       
        Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。
        Mozilla Firefox 存在安全漏洞，该漏洞源于在请求全屏访问时从iframe内部导航时，攻击者控制的选项卡可能使浏览器无法离开全屏模式。
二、风险等级：
          高危
三、影响范围：
        Mozilla Firefox < 96.0.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.mozilla.org/en-US/security/advisories/mfsa2022-01/

---

3 Mozilla Firefox竞争条件绕过漏洞（CVE-2022-22746）
一、漏洞描述：
       
        Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。
        Mozilla Firefox 存在竞争条件绕过问题，攻击者可以利用该漏洞绕过Windows设备上的全屏通知。
二、风险等级：
          高危
三、影响范围：
        Mozilla Firefox < 96.0.1
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://www.mozilla.org/en-US/security/advisories/mfsa2022-01/

---

4 Red Hat OpenShift Container Platform输入验证错误漏洞（CVE-2021-39242）
一、漏洞描述：
       
        Red Hat OpenShift Container Platform是红帽的云计算Kubernetes 应用平台解决方案，专为内部或私有云部署而设计。
        该漏洞的存在是由于在处理 HTTP 标头时对用户提供的输入的验证不足。远程攻击者可以向应用程序发送特制的 Host 标头并绕过实施的安全限制。
二、风险等级：
          中危
三、影响范围：
        OpenShift Container Platform < 4.8.25
四、修复建议：
        目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
        https://docs.openshift.com/conta ... -release-notes.html