1月13日,思科发布了安全公告,指出其小型企业系列的RV110W、RV130、RV130W和RV215W路由器中存在命令注入和拒绝服务等重要漏洞,建议用户尽快进行升级。以下是漏洞的详细信息:
漏洞详情
CVE-2021-1146、CVE-2021-1147、CVE-2021-1148、CVE-2021-1149、CVE-2021-1150
CVSS评分:7.2(高)
来源:Cisco
在Cisco小型企业RV110W、RV130、RV130W和RV215W路由器的Web管理界面中,存在多个漏洞,这些漏洞可能允许经过身份验证的远程攻击者注入以Root特权执行的任意命令。该问题源于对用户输入的验证不当。攻击者可以通过向目标设备发送特制的HTTP请求来利用这些漏洞,成功利用后,攻击者能够以Root用户身份在操作系统底层执行任意代码。要成功利用这些漏洞,攻击者需在受影响的设备上拥有有效的管理员凭据。
CVE-2021-1159至CVE-2021-1360
CVSS评分:7.2(高)
来源:Cisco
同样,Cisco小型企业RV110W、RV130、RV130W和RV215W路由器的Web管理界面中还存在其他多个漏洞,这些漏洞可能允许经过身份验证的远程攻击者执行任意代码,或导致受影响设备意外重启。该漏洞同样是由于对用户输入的不正确验证造成的。攻击者通过发送特制的HTTP请求即可利用这些漏洞,成功后可能以Root用户身份在底层操作系统上执行任意代码,或使设备重启,从而导致拒绝服务(DoS)。同样,这些漏洞的利用也需要攻击者在受影响的设备上具备有效的管理员凭据。
受影响产品
以下Cisco小型企业路由器受到影响:
- RV110W Wireless-N VPN防火墙
- RV130 VPN路由器
- RV130W Wireless-N多功能VPN路由器
- RV215W Wireless-N VPN路由器
解决方案
由于思科小型企业RV110W、RV130、RV130W和RV215W路由器已停止提供技术支持,因此思科不会发布任何软件更新以修复此公告中提到的漏洞。思科建议用户迁移至Cisco小型企业RV132W、RV160或RV160W路由器。
欲了解更多漏洞信息及升级详情,请访问官网:
Cisco Security Advisory – Cisco RV Command Injection Vulnerabilities
注意:
1. 必须保留并原样返回所有 [[[IMG_n]]] 占位符。
