2021年8月4日,思科发布了安全公告,旗下小型企业RV340,RV340W,RV345和RV345P路由器中发现了拒绝服务和命令注入等重要漏洞,建议尽快升级。以下是漏洞详情:
漏洞详情
来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv340-cmdinj-rcedos-pY8J3qfy
1.CVE-2021-1609 CVSS评分:9.8 高
Cisco Small Business RV340、RV340W、RV345 和 RV345P 双 WAN 千兆 VPN 路由器的基于 Web 的管理界面中存在一个漏洞,该漏洞可能允许未经身份验证的远程攻击者在受影响的设备上执行任意代码或导致设备重新加载,从而导致拒绝服务 (DoS) 条件。
存在此漏洞是因为 HTTP 请求未正确验证。攻击者可以通过向受影响的设备发送精心设计的 HTTP 请求来利用此漏洞。成功的利用可能允许攻击者在设备上远程执行任意代码或导致设备重新加载,从而导致拒绝服务条件。
2.CVE-2021-1610 CVSS评分:7.2 高
Cisco Small Business RV340、RV340W、RV345 和 RV345P 双 WAN 千兆 VPN 路由器的基于 Web 的管理界面中存在一个漏洞,该漏洞可能允许经过身份验证的远程攻击者在受影响的设备上以root权限执行任意命令。
存在此漏洞是因为 HTTP 请求未正确验证。攻击者可以通过向受影响的设备发送精心设计的 HTTP 请求来利用此漏洞。成功的利用可能允许攻击者以root身份在底层操作系统上执行任意命令。
受影响产品
如果以下Cisco Small Business Router 运行的固件版本早于1.0.03.22,这些漏洞会影响它们:
RV340 双 WAN 千兆 VPN 路由器
RV340W 双 WAN 千兆无线-AC VPN 路由器
RV345 双 WAN 千兆 VPN 路由器
RV345P 双广域网千兆 POE VPN 路由器
解决方案
Cisco 在固件版本 1.0.03.22 及更高版本中修复了这些漏洞。
要从Cisco.com 上的软件中心下载软件,请单击“浏览全部”并导航至“下载主页” >“路由器” >“小型企业路由器” >“小型企业 RV 系列路由器”。
查看更多漏洞信息 以及升级请访问官网:
https://tools.cisco.com/security/center/publicationListing.x
|