思科升级远程命令执行等高危漏洞

1月19日，思科发布了安全公告，旗下小型企业RV110W，RV130，RV130W和RV215W路由器中发现了远程命令执行等高危漏洞，建议尽快升级。以下是漏洞详情：

漏洞详情

思科小型企业RV110W，RV130，RV130W和RV215W路由器UPnP远程命令执行和拒绝服务漏洞

CVE-2021-1164 CVSS评分： 9.8 危急

思科小型企业RV110W，RV130，RV130W和RV215W路由器的通用即插即用（UPnP）服务中的漏洞可能允许未经身份验证的远程攻击者执行任意代码，或使受影响的设备意外重启。

该漏洞是由于传入的UPnP流量验证不正确造成的。攻击者可以通过向受影响的设备发送精心制作的UPnP请求来利用此漏洞。成功的利用可能使攻击者能够以root用户身份在底层操作系统上执行任意代码，或导致设备重新加载，从而导致拒绝服务（DoS）条件。

思科小型企业RV110W，RV130，RV130W和RV215W路由器管理接口远程命令执行和服务拒绝漏洞

CVE-2021-1159，。CVE-2021-1360 CVSS评分：7.2 高

Cisco Small Business RV110W，RV130，RV130W和RV215W路由器的基于Web的管理界面中的多个漏洞可能允许经过身份验证的远程攻击者执行任意代码，或使受影响的设备意外重启。

该漏洞是由于在基于Web的管理界面中对用户提供的输入的不正确验证引起的。攻击者可以通过将精心制作的HTTP请求发送到受影响的设备来利用这些漏洞。成功的利用可能使攻击者能够以root用户身份在底层操作系统上执行任意代码，或导致设备重新加载，从而导致拒绝服务（DoS）条件。要利用这些漏洞，攻击者需要在受影响的设备上具有有效的管理员凭据。

受影响产品

这些漏洞影响以下Cisco Small Business路由器：

RV110W Wireless-N VPN防火墙

RV130 VPN路由器

RV130W Wireless-N多功能VPN路由器

RV215W Wireless-N VPN路由器

解决方案

由于思科精睿RV110W，RV130，RV130W和RV215W路由器已经停止提供技术支持，寿终正寝，因此思科尚未发布，也不会发布软件更新来解决此通报中描述的漏洞。思科建议客户迁移到Cisco小型企业RV132W，RV160或RV160W路由器。
责任编辑:pj