思科修复其SD-WAN解决方案中的多个漏洞风险通告

发布时间 2020-03-19

漏洞编号和级别


CVE编号:CVE-2020-3265,危险级别:高危,CVSS分值:厂商自评:7.0,官方未评定

CVE编号:CVE-2020-3266,危险级别:高危,CVSS分值:厂商自评:7.8,官方未评定

CVE编号:CVE-2020-3264,危险级别:高危,CVSS分值:厂商自评:7.1,官方未评定


影响版本


运行着Cisco SD-WAN Solution Release 19.2.2之前版本的以下产品:


vBond Orchestrator Software

vEdge 100 Series Routers

vEdge 1000 Series Routers

vEdge 2000 Series Routers

vEdge 5000 Series Routers

vEdge Cloud Router Platform

vManage Network Management Software

vSmart Controller Software


漏洞概述


Cisco SD-WAN Solution是美国思科(Cisco)公司的一套网络扩展解决方案。


近日,思科发布安全公告,修复了其SD-WAN解决方案中的五个漏洞,其中包括三个高危漏洞,概述如下:


CVE-2020-3265

Cisco SD-WAN Solution software Release 19.2.2之前版本中存在权限许可和访问控制问题漏洞,该漏洞源于程序没有充分进行输入验证。本地攻击者可通过发送特制的请求利用该漏洞获取root权限。


CVE-2020-3266

Cisco SD-WAN Solution software Release 19.2.2之前版本中的CLI存在命令注入漏洞,该漏洞源于程序没有充分进行输入验证。本地攻击者可通过进行身份验证并提交特制的输入利用该漏洞以root权限执行命令。


CVE-2020-3264

Cisco SD-WAN Solution software Release 19.2.2之前版本中存在缓冲区错误漏洞,该漏洞源于不充分的输入验证。本地攻击者可通过发送特制的流量利用该漏洞访问没有授权的信息或对系统进行未授权的修改。


漏洞验证


暂无PoC/EXP。


修复建议


目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwpresc-ySJGvE9

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwclici-cvrQpH9v

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwanbo-QKcABnS2


参考链接


https://tools.cisco.com/security/center/publicationListing.x