4月7日,思科发布了安全公告,思科小型企业路由器发现执行任意代码漏洞,建议尽快升级。以下是漏洞详情:
漏洞详情
来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-rce-q3rxHnvm
CVE-2021-1459 CVSS评分:9.8 严重程度:高
Cisco Small Business RV110W,RV130,RV130W和RV215W路由器的基于Web的管理界面中的漏洞可能允许未经身份验证的远程攻击者在受影响的设备上执行任意代码。
该漏洞是由于在基于Web的管理界面中未正确验证用户提供的输入而引起的。攻击者可以通过向目标设备发送特制的HTTP请求来利用此漏洞。成功的利用可能使攻击者能够以root 用户身份在受影响设备的基础操作系统上执行任意代码 。
受影响产品
此漏洞影响以下Cisco Small Business RV系列路由器:
RV110W Wireless-N VPN Firewall
RV130 VPN Router
RV130W Wireless-N Multifunction VPN Router
RV215W Wireless-N VPN Router
解决方案
思科尚未发布也不会发布软件更新来解决此通报中描述的漏洞。思科小型企业RV110W,RV130,RV130W和RV215W路由器已进入使用寿命终止过程。思科建议客户升级到Cisco小型企业RV132W,RV160或RV160W路由器。在考虑设备升级时,建议客户定期查阅Cisco产品的建议(可从 Cisco安全建议页面获得),以确定暴露程度和完整的升级解决方案。
查看更多漏洞信息 以及升级请访问官网:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fast-Zqr6DD5
