3月17日,思科发布了一份安全公告,指出其小型企业交换机存在远程命令执行及拒绝服务漏洞,建议用户尽快进行升级。以下为漏洞的详细信息:
漏洞详情
来源:
CVE-2021-1287 CVSS评分:7.2 严重程度:高
在Cisco RV132W ADSL2 + WiReleSS-N VPN路由器和Cisco RV134W VDSL2 WiReleSS-AC VPN路由器的Web管理界面中,存在的漏洞可能使经过身份验证的远程攻击者能够在受影响设备上执行任意代码,或导致设备意外重启。
该漏洞的产生是因为Web管理界面未能正确验证用户输入。攻击者可以通过发送特制的HTTP请求来利用该漏洞。一旦成功利用,攻击者可能会以Root用户身份在底层操作系统上执行任意代码,或导致设备重新加载,进而引发拒绝服务(DoS)状态。
受影响产品
该漏洞影响以下思科设备:
RV132W ADSL2 + WiReleSS-N VPN路由器(固件版本低于1.0.1.15)
RV134W VDSL2 WiReleSS-AC VPN路由器(固件版本低于1.0.1.21)
解决方案
思科已在以下产品中修复此漏洞:
RV132W ADSL2 + WiReleSS-N VPN路由器固件版本1.0.1.15及以上
RV134W VDSL2 WiReleSS-AC VPN路由器固件版本1.0.1.21及以上
欲了解更多漏洞信息及升级详情,请访问官网:
(图片)
