原标题:云安全日报210318:思科小型企业交换机发现远程命令执行漏洞,需要尽快升级
3月17日,思科发布了安全公告,思科小型企业交换机发现远程命令执行和拒绝服务漏洞,建议尽快升级。以下是漏洞详情:
漏洞详情
来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-132w134w-overflow-Pptt4H2p
CVE-2021-1287 CVSS评分:7.2 严重程度:高
Cisco RV132W ADSL2 + Wireless-N VPN路由器和Cisco RV134W VDSL2 Wireless-AC VPN路由器的基于Web的管理界面中的漏洞可能允许经过身份验证的远程攻击者在受影响的设备上执行任意代码,或导致设备意外重启。
存在此漏洞是因为基于Web的管理界面无法正确验证用户提供的输入。攻击者可以通过向受影响的设备发送特制的HTTP请求来利用此漏洞。成功的利用可能使攻击者能够以root用户身份在底层操作系统上执行任意代码,或导致设备重新加载,从而导致受影响设备上的拒绝服务(DoS)条件。
受影响产品
此漏洞影响以下Cisco设备:
RV132W ADSL2 + Wireless-N VPN路由器(如果运行的固件版本早于1.0.1.15版)
RV134W VDSL2 Wireless-AC VPN路由器(如果运行的固件版本早于1.0.1.21版)
解决方案
思科在以下思科产品中修复了此漏洞:
RV132W ADSL2 + Wireless-N VPN路由器固件版本1.0.1.15及更高版本
RV134W VDSL2 Wireless-AC VPN路由器固件版本1.0.1.21及更高版本
查看更多漏洞信息 以及升级请访问官网:
https://tools.cisco.com/security/center/publicationListing.x
