对 Cisco iOS XE SD-WAN 软件的 CLI 输入存在命令注入风险,已发布安全更新以修复该漏洞。下文整理了漏洞要点、受影响产品与升级方案,供参考。
漏洞详情
漏洞涉及的组件为 iOS XE SD-WAN 软件在 CLI 的输入验证不足,可能被经过身份验证的本地攻击者利用,从而以 Root 权限执行任意命令。
该漏洞来源于系统 CLI 的输入校验不足。攻击者在通过认证后,向受影响设备提交精心设计的输入,进而在底层操作系统上执行任意命令并提升至 Root 权限。
受影响产品
以下在控制器模式下运行的通用 Cisco iOS XE 软件版本,或独立 Cisco iOS XE SD-WAN 软件的易受攻击版本,可能受到影响:
- 1000 系列集成多业务路由器 (ISR)
- 4000 系列 ISR
- ASR 1000 系列聚合服务路由器
- Catalyst 8000 系列边缘平台
- 云服务路由器 (CSR) 1000V 系列
解决方案
独立 iOS XE SD-WAN 软件方面,相关更新尚未发布也不会单独提供以解决本公告中描述的问题。建议客户升级到通用的 Cisco iOS XE 软件版本以获得修复。
通用 iOS XE 软件升级路径
以下为常用版本的升级目标:
- 17.2 升级至 17.2.3
- 17.3 升级至 17.3.4
- 17.4 升级至 17.4.2
- 17.5 升级至 17.5.1a
- 17.6 升级至 17.6.1
如需查看更多漏洞信息以及升级,请访问官方网站获取最新公告与下载链接。 [[[IMG_1]]][[[[IMG_2]]]]
