思科警吿SD-WAN軟件中存在嚴重安全漏洞,請立即更新
嚴重性評級為 9.9 分
最近更新時間 2021-01-23 12:07:47
思科正警吿客户立即更新其網絡軟件,標記出四個嚴重的安全漏洞,這些漏洞會影響SD-WAN,DNA和Smart Software Manager Satellite。
Cisco SD-WAN具有三個命令注入漏洞,分別被跟蹤為CVE-2021-1260,CVE-2021-1261和CVE-2021-1262。總體而言,它們的嚴重性得分為9.9(滿分10)。換句話説,這些都是嚴重的缺陷,需要立即採取措施。儘管互聯網上的攻擊者實際上需要一個有效的密碼,但仍能達到該等級。
思科指出:“思科SD-WAN產品中的多個漏洞可能允許經過身份驗證的攻擊者對受影響的設備執行命令注入攻擊,這可能使攻擊者可以在設備上以root特權執行某些操作。”
嚴重性等級可能是由於其影響所致:“成功利用漏洞可能使攻擊者獲得對受影響系統的根級別訪問,”思科指出。
此問題影響思科的SD-WAN vBond Orchestrator軟件,SD-WAN vEdge雲路由器,SD-WAN vEdge路由器,SD-WAN vManage軟件和SD-WAN vSmart Controller軟件。
思科SD-WAN遭受了另外兩個漏洞的嚴重性評分為9.8,被跟蹤為CVE-2021-1300和CVE-2021-1301。
它們會影響IOS XE SD-WAN軟件,SD-WAN vBond Orchestrator軟件,SD-WAN vEdge雲路由器,SD-WAN vEdge路由器,SD-WAN vManage軟件和SD-WAN vSmart Controller軟件。
Cisco DNA Center的Command Runner工具的嚴重等級為9.6,“可以允許經過身份驗證的遠程攻擊者執行命令注入攻擊。”跟蹤為CVE-2021-1264。
最後,Cisco Smart Software Manager Satellite Web用户界面存在9.8級嚴重錯誤,因為即使沒有密碼,遠程攻擊者也可以向其中注入惡意命令。