云安全日报210819:思科小型企业路由器发现执行任意代码漏洞,需要尽快升级

2022-10-02

8月18日,思科发布了安全公告,旗下小型企业RV110W、RV130、RV130W 和 RV215W路由器中发现了拒绝服务和命令注入等重要漏洞,建议尽快升级。以下是漏洞详情:

漏洞详情

来源:https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cisco-sb-rv-overflow-htpymMB5

CVE-2021-34730 CVSS评分:9.8 高

Cisco Small Business RV110W、RV130、RV130W 和 RV215W 路由器的通用即插即用 (UPnP) 服务中存在一个漏洞,该漏洞可能允许未经身份验证的远程攻击者执行任意代码或导致受影响的设备意外重启,从而导致拒绝服务 (DoS) 条件。

此漏洞是由于对传入 UPnP 流量的验证不当造成的。攻击者可以通过向受影响的设备发送精心设计的 UPnP 请求来利用此漏洞。成功的利用可能允许攻击者以root用户身份在底层操作系统上执行任意代码或导致设备重新加载,从而导致拒绝服务。

受影响产品

如果配置了 UPnP,此漏洞会影响以下 Cisco Small Business RV 系列路由器:

RV110W Wireless-N VPN Firewalls

RV130 VPN Routers

RV130W Wireless-N Multifunction VPN Routers

RV215W Wireless-N VPN Routers

解决方案

思科尚未发布也不会发布软件更新来解决此通报中描述的漏洞。Cisco Small Business RV110W、RV130、RV130W 和 RV215W 路由器已进入寿终正寝状态。思科建议客户迁移到 Cisco Small Business RV132W、RV160 或 RV160W 路由器。

查看更多漏洞信息 以及升级请访问官网:

https://tools.cisco.com/security/center/publicationListing.x

您好!请登录

点击取消回复