思科警告SD-WAN软件中存在严重安全漏洞,请立即更新

Lasted 2021-01-23 12:07:47

思科正警告客户立即更新其网络软件,标记出四个严重的安全漏洞,这些漏洞会影响SD-WAN,DNA和Smart Software Manager Satellite。

Cisco SD-WAN具有三个命令注入漏洞,分别被跟踪为CVE-2021-1260,CVE-2021-1261和CVE-2021-1262。总体而言,它们的严重性得分为9.9(满分10)。换句话说,这些都是严重的缺陷,需要立即采取措施。尽管互联网上的攻击者实际上需要一个有效的密码,但仍能达到该等级。

思科指出:“思科SD-WAN产品中的多个漏洞可能允许经过身份验证的攻击者对受影响的设备执行命令注入攻击,这可能使攻击者可以在设备上以root特权执行某些操作。”

严重性等级可能是由于其影响所致:“成功利用漏洞可能使攻击者获得对受影响系统的根级别访问,”思科指出。

此问题影响思科的SD-WAN vBond Orchestrator软件,SD-WAN vEdge云路由器,SD-WAN vEdge路由器,SD-WAN vManage软件和SD-WAN vSmart Controller软件。

思科SD-WAN遭受了另外两个漏洞的严重性评分为9.8,被跟踪为CVE-2021-1300和CVE-2021-1301。

它们会影响IOS XE SD-WAN软件,SD-WAN vBond Orchestrator软件,SD-WAN vEdge云路由器,SD-WAN vEdge路由器,SD-WAN vManage软件和SD-WAN vSmart Controller软件。

Cisco DNA Center的Command Runner工具的严重等级为9.6,“可以允许经过身份验证的远程攻击者执行命令注入攻击。”跟踪为CVE-2021-1264。

最后,Cisco Smart Software Manager Satellite Web用户界面存在9.8级严重错误,因为即使没有密码,远程攻击者也可以向其中注入恶意命令。