多款Cisco产品任意命令执行漏洞安全通告
发布时间 2019-11-11漏洞编号和级别
CVE编号:CVE-2019-15271,危险级别:高危,CVSS分值:厂商自评:8.8,官方未评定
影响版本
Cisco RV016 Multi-WAN VPN Router <4.2.3.10
Cisco RV042 Dual WAN VPN Router <4.2.3.10
Cisco RV042G Dual Gigabit WAN VPN Router <4.2.3.10
Cisco RV082 Dual WAN VPN Router <4.2.3.10
漏洞概述
Cisco RV016 Multi-WAN VPN Router等都是美国思科(Cisco)公司的一款VPN(虚拟专用网络)路由器。
多款Cisco产品中的Web管理界面存在任意命令执行漏洞,该漏洞源于程序未能对HTTP payload进行输入验证,远程攻击者可通过发送恶意的HTTP请求利用该漏洞以root权限执行任意命令。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布了漏洞修复程序,请及时关注更新:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-sbrv-cmd-x。
参考链接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-sbrv-cmd-x
京公网安备11010802024551号