1月19日,思科发布了安全公告,指出在其小型企业RV110W,RV130,RV130W和RV215W路由器中发现了诸如远程命令执行之类的高风险漏洞。
建议尽快升级。
以下是漏洞详细信息:漏洞详细信息思科小型企业RV110W,RV130,RV130W和RV215W路由器UPnP远程命令执行和拒绝服务漏洞CVE-2021-1164 CVSS得分:9.8严重思科小型企业RV110W,RV130,RV130W和RV215W UPnP服务中的路由器通用插件漏洞可能允许未经身份验证的远程攻击者执行任意代码,或导致受影响的设备意外重启。
该漏洞是由于对传入的UPnP通信进行不正确的验证引起的。
攻击者可以通过向受影响的设备发送精心制作的UPnP请求来利用此漏洞。
成功利用漏洞可能使攻击者能够以root用户身份在底层操作系统上执行任意代码,或导致设备重新加载,从而导致拒绝服务(DoS)条件。
思科小型企业RV110W,RV130,RV130W和RV215W路由器管理接口远程命令执行和服务拒绝服务漏洞CVE-2021-1159。
CVE-2021-1360 CVSS得分:7.2高。
Cisco SmallBusinessRV110W,RV130,RV130W和RV215W路由器的基于Web的管理界面中的多个漏洞可能允许经过身份验证的远程攻击者执行任意代码,或导致受影响的设备意外重启。
该漏洞是由于对基于Web的管理界面中用户提供的输入的不正确验证引起的。
攻击者可以通过向受影响的设备发送精心设计的HTTP请求来利用这些漏洞。
成功利用漏洞可能使攻击者能够以root用户身份在底层操作系统上执行任意代码,或导致设备重新加载,从而导致拒绝服务(DoS)条件。
要利用这些漏洞,攻击者需要在受影响的设备上具有有效的管理员凭据。
受影响产品中的这些漏洞会影响以下Cisco SmallBusiness路由器:RV110W无线-NVPN防火墙,RV130VPN路由器,RV130W无线-N多功能VPN路由器,RV215W无线-NVPN路由器解决方案,因为Cisco Elite RV110W,RV130,RV130W和RV215W路由器已停止运行提供技术支持已失效Cisco尚未发布,也不会发布软件更新来解决此通报中描述的漏洞。
思科建议客户迁移到思科小型企业RV132W,RV160或RV160W路由器。