0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

思科升级远程命令执行等高危漏洞

lhl545545 来源:TechWeb.com.cn 作者:JayJay 2021-01-20 15:40 次阅读

1月19日,思科发布了安全公告,旗下小型企业RV110W,RV130,RV130W和RV215W路由器中发现了远程命令执行等高危漏洞,建议尽快升级。以下是漏洞详情:

漏洞详情

思科小型企业RV110W,RV130,RV130W和RV215W路由器UPnP远程命令执行和拒绝服务漏洞

CVE-2021-1164 CVSS评分: 9.8 危急

思科小型企业RV110W,RV130,RV130W和RV215W路由器的通用即插即用(UPnP)服务中的漏洞可能允许未经身份验证的远程攻击者执行任意代码,或使受影响的设备意外重启。

该漏洞是由于传入的UPnP流量验证不正确造成的。攻击者可以通过向受影响的设备发送精心制作的UPnP请求来利用此漏洞。成功的利用可能使攻击者能够以root用户身份在底层操作系统上执行任意代码,或导致设备重新加载,从而导致拒绝服务(DoS)条件。

思科小型企业RV110W,RV130,RV130W和RV215W路由器管理接口远程命令执行和服务拒绝漏洞

CVE-2021-1159,。CVE-2021-1360 CVSS评分:7.2 高

Cisco Small Business RV110W,RV130,RV130W和RV215W路由器的基于Web的管理界面中的多个漏洞可能允许经过身份验证的远程攻击者执行任意代码,或使受影响的设备意外重启。

该漏洞是由于在基于Web的管理界面中对用户提供的输入的不正确验证引起的。攻击者可以通过将精心制作的HTTP请求发送到受影响的设备来利用这些漏洞。成功的利用可能使攻击者能够以root用户身份在底层操作系统上执行任意代码,或导致设备重新加载,从而导致拒绝服务(DoS)条件。要利用这些漏洞,攻击者需要在受影响的设备上具有有效的管理员凭据。

受影响产品

这些漏洞影响以下Cisco Small Business路由器:

RV110W Wireless-N VPN防火墙

RV130 VPN路由器

RV130W Wireless-N多功能VPN路由器

RV215W Wireless-N VPN路由器

解决方案

由于思科精睿RV110W,RV130,RV130W和RV215W路由器已经停止提供技术支持,寿终正寝,因此思科尚未发布,也不会发布软件更新来解决此通报中描述的漏洞。思科建议客户迁移到Cisco小型企业RV132W,RV160或RV160W路由器。
责任编辑:pj

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 接口
    +关注

    关注

    33

    文章

    8575

    浏览量

    151019
  • 路由器
    +关注

    关注

    22

    文章

    3728

    浏览量

    113701
  • 思科
    +关注

    关注

    0

    文章

    299

    浏览量

    32204
收藏 人收藏

    评论

    相关推荐

    大核桃防爆气体检测终端确保高危气体场景“零事故、零伤害”的安全目标

    在现代工业生产中,高危气体场景的安全问题始终是社会关注的焦点。从石油化工到煤矿开采,从燃气供应到实验室研究,这些领域无不充斥着易燃、易爆、有毒有害等高风险气体。为了确保人员生命财产安全,实现“零事故
    的头像 发表于 12-11 15:39 66次阅读
    大核桃防爆气体检测终端确保<b class='flag-5'>高危</b>气体场景“零事故、零伤害”的安全目标

    常见的漏洞分享

    #SPF邮件伪造漏洞 windows命令: nslookup -type=txt xxx.com linux命令: dig -t txt huawei.com 发现spf最后面跟着~all,代表有
    的头像 发表于 11-21 15:39 95次阅读
    常见的<b class='flag-5'>漏洞</b>分享

    思科设备常用的巡检命令介绍

    思科(Cisco)设备在网络领域具有广泛的应用,其可靠性和功能强大使其成为许多企业网络基础设施的核心。然而,确保这些设备始终高效运行,定期进行巡检是必不可少的。这篇文章将详细介绍思科设备巡检中常用的命令,帮助网络管理员了解并掌握
    的头像 发表于 08-12 18:16 601次阅读

    思科网络设备常用show命令

    思科网络设备的日常运维中,有一些命令被频繁使用,它们可以帮助网络管理员快速获取重要信息并保存配置更改。在这篇文章中,我们将详细介绍五个出场率最高的show命令:show interfaces
    的头像 发表于 08-07 14:38 1748次阅读

    Air780EP模块AT开发FOTA远程升级指南

    Air780EP模块AT开发FOTA远程升级指南简介AT版本的远程升级主要是对AT固件进行升级,实际方式为通过合宙官方IOT平台
    的头像 发表于 07-19 15:16 783次阅读
    Air780EP模块AT开发FOTA<b class='flag-5'>远程</b><b class='flag-5'>升级</b>指南

    BIG WALNUT大核桃防爆手机:石油、化工高危行业的安全通信守护者

    在石油、化工等高危行业中,安全始终是头等大事。在这个充满挑战与风险的领域里,一款能够确保通信畅通无阻且具备防爆功能的手机显得尤为重要。今天,我们要为大家介绍的,就是被誉为“石油、化工高危行业的安全
    的头像 发表于 07-16 16:12 261次阅读
    BIG WALNUT大核桃防爆手机:石油、化工<b class='flag-5'>高危</b>行业的安全通信守护者

    BIG WALNUT大核桃防爆手机在石油、化工等高危行业的应用价值

    在石油、化工等高危行业中,安全始终是首要考虑的因素。随着科技的不断发展,防爆手机作为一种特殊的通讯工具,逐渐在这些行业中崭露头角。其中,BIGWALNUT大核桃防爆手机凭借其卓越的性能和安全性
    的头像 发表于 07-15 16:49 232次阅读
    BIG WALNUT大核桃防爆手机在石油、化工<b class='flag-5'>等高危</b>行业的应用价值

    ZWS云平台应用(6)-设备命令

    本文讲述使用ZWS物联网云平台远程下发设备命令的过程。在生产生活中,很多设备自身有一些控制指令,比如,路灯的开关灯命令、电机的调整转速命令、空调的调温
    的头像 发表于 06-26 08:25 272次阅读
    ZWS云平台应用(6)-设备<b class='flag-5'>命令</b>

    Adobe修复35项安全漏洞,主要涉及Acrobat和FrameMaker

    值得关注的是,Adobe对Acrobat及Acrobat Reader软件的漏洞修复最为重视,共修复了12个漏洞,其中9个为“远程执行代码”严重漏洞
    的头像 发表于 05-16 15:12 728次阅读

    英特尔修补90项漏洞,其中包括Neural Compressor高危缺陷

    本次披露的问题主要集中在软件层面,神经压缩机中的一个漏洞被评为CVSS10.0的“满点”分数,具有远程提权和实施任意攻击的能力。
    的头像 发表于 05-16 14:56 630次阅读

    要做一个GPRS远程升级的工程,有一个想法不知道是否可行,请帮忙看下?

    要做一个GPRS远程升级的工程,有一个想法不知道是否可行,如下: 1.上电进入IAP程序,启动看门狗,用户APP标志存在则跳转,无则等等用户APP升级,并喂狗 2.用户程序完整可执行
    发表于 05-16 07:14

    微软去年提交1128个漏洞,&quot;提权&quot;和&quot;远程代码执行&quot;最为常见

    据BeyondTrust安全平台统计显示,微软于2023年共报告漏洞1128项,相较于2022年的1292个略微下滑5%,但总漏洞数仍维持在历史高位。值得注意的是,NIST通用漏洞评级系统中评分9.0以上的严重
    的头像 发表于 04-29 16:11 428次阅读

    如何用stm8s的IAP实现wifi远程升级

    最近有一个项目客户提出需要远程升级,系统中已有wifi模块,本意想通过wifi模块透传(串口)给stm8s105或者207芯片升级,但是看资料说bootloader这边牵扯到中断向量共享的问题,这里主要需要共享的是串口发送接收中
    发表于 04-25 07:25

    Rust漏洞远程执行恶意指令,已发布安全补丁

    漏洞源于操作系统命令及参数注入缺陷,攻击者能非法执行可能有害的指令。CVSS评分达10/10,意味着无须认证即可借助该漏洞发起低难度远端攻击。
    的头像 发表于 04-10 14:24 696次阅读

    D-Link NAS设备存在严重漏洞,易受攻击者注入任意命令攻击

    该问题源于URL处理软件中的CGI脚本段“/cgi-bin/ nas_sharing. CGI”,其对HTTPGET请求的处理过程存在漏洞。该漏洞以CVE-2024-3273作为识别号,其方式包括以”system“参数进行的命令
    的头像 发表于 04-08 10:28 880次阅读