文章来源:安全圈
跟踪为 CVE-2021-1609(CVSS 评分:9.8)和 CVE-2021-1610(CVSS 评分:7.2)的问题存在于小型企业 RV340、RV340W、RV345 和 RV345P Dual运行版本 1.0.03.22 之前的固件版本的 WAN 千兆 VPN 路由器。这两个问题都源于缺乏对 HTTP 请求的正确验证,从而允许不法分子向易受攻击的设备发送特制的 HTTP 请求。
成功利用 CVE-2021-1609 可能允许未经身份验证的远程攻击者在设备上执行任意代码或导致设备重新加载,从而导致 DoS 条件。CVE-2021年至1610年,关注一个命令注入漏洞,如果利用,可允许经认证的对手到受影响的设备上远程执行与根特权任意命令,该公司指出在其咨询。
思科还解决了一个影响小型企业 RV160、RV160W、RV260、RV260P 和 RV260W VPN 路由器的高严重性远程代码执行错误(CVE-2021-1602,CVSS 评分:8.2),未经身份验证的远程攻击者可以利用该漏洞在受影响设备的底层操作系统上执行任意命令。运行早于 1.0.01.04 的固件版本的小型企业 RV 系列路由器容易受到影响。
“此漏洞是由于用户输入验证不足造成的。攻击者可以通过向基于 Web 的管理界面发送精心设计的请求来利用此漏洞,”思科表示。“成功的利用可能允许攻击者使用 root 级权限在受影响的设备上执行任意命令。由于漏洞的性质,只能执行没有参数的命令。”
该公司指出,没有证据表明存在针对任何这些缺陷的积极利用尝试,也没有任何解决漏洞的变通方法。
CVE-2021-1602 标志着思科第二次修复了与同一组 VPN 设备相关的关键远程代码执行缺陷。今年 2 月初,该公司修补了 35 个漏洞,这些漏洞可能允许未经身份验证的远程攻击者以 root 用户身份在受影响的设备上执行任意代码。
微信暂停个人账号新用户注册,注册入口已关闭
微软 Windows Hello 曝漏洞!外接一个 USB 摄像头,分分钟破解你的电脑
多名车主因停车“薅羊毛”致商场损失37万 接码平台成“帮凶”!
多一个点在看
多一条小鱼
本文始发于微信公众号(黑白之道):思科爆出严重漏洞!黑客可远程执行任意代码
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论