Cisco修复了其SD-WAN Solution中的5个安全漏洞，其中包括三个高危漏洞。

如成功利用这些漏洞，攻击者可未授权修改系统，注入任意命令并以root权限执行命令，提升权限至root。

这些漏洞都是由于输入验证不充分造成的，它们都是由Orange Group的专家发现的。

三个高危漏洞的编号依次为CVE-2020-3265，CVE-2020-3266和CVE-2020-3264。本地，经身份认证的攻击者可通过向目标系统发送特制的请求或输入利用这些漏洞。

这些漏洞影响运行SD-WAN 19.2.2之前版本的Cisco产品，包括vBond Orchestrator安全网络扩展管理软件，vEdge路由器，vManage网络管理软件，和vSmart控制器软件。

Cisco同时修复了SD-WAN vManage软件中的一个存储型跨站脚本漏洞（CVE-2019-16010）和一个SQL注入漏洞（CVE-2019-16012）。

这两个漏洞都可被经过身份认证的攻击者远程利用。

好消息是，Cisco尚未发现有利用上述漏洞的攻击。

本文源自Security Affairs；转载请注明出处。