Cisco产品多个严重漏洞安全通告
发布时间 2018-09-06漏洞编号和级别
CVE编号:CVE-2018-0423,危险级别:严重,CVSS分值:厂商自评9.8,官方未评定
影响版本
CVE-2018-0423此漏洞会影响以下Cisco产品的所有版本:
RV110W Wireless-N VPN防火墙
RV130W Wireless-N多功能VPN路由器
RV215W Wireless-N VPN路由器
漏洞概述
Cisco Umbrella API中存在的漏洞可能允许经过身份验证的远程攻击者查看和修改其组织和其他组织中的数据。该漏洞的产生是由于Cisco Umbrella API接口的身份验证配置不足。成功利用该漏洞可能允许攻击者跨多个组织读取或修改数据。
CVE-2018-0423 :
Cisco RV110W Wireless-N VPN防火墙、Cisco RV130W Wireless-N多功能VPN路由器和Cisco RV215W Wireless-N VPN路由器的Web管理界面中存在的漏洞可能允许未经身份验证的远程攻击者导致拒绝服务攻击或执行任意代码。该漏洞是由于Web管理界面的Guest用户功能中对用户提供的输入边界限制不当造成的。攻击者可以通过向目标设备发送恶意请求来利用此漏洞,从而触发缓冲区溢出。成功利用该漏洞可能允许攻击者使设备停止响应,导致拒绝服务攻击,或者允许攻击者执行任意代码。
修复建议
思科已经在Cisco Umbrella production API中修复了该漏洞。无需用户操作来应用补丁。
CVE-2018-0423 :
对于Cisco RV130W Wireless-N多功能VPN路由器,思科发布了免费的固件更新,客户可以通过Cisco.com上的软件中心下载固件更新https://software.cisco.com/download/home
对于Cisco RV110W Wireless-N VPN防火墙和Cisco RV215W Wireless-N VPN路由器,思科尚未发布并且不会发布解决该漏洞的固件更新。
参考链接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-rv-routers-overflow
https://www.zdnet.com/article/cisco-warns-customers-of-critical-security-flaws-advisory-includes-apache-struts/
京公网安备11010802024551号