Cisco 7月15日发布安全更新,修复超危远程代码执行,身份认证绕过和静态默认凭据漏洞,这些漏洞影响多款路由器和防火墙设备,可导致设备被攻击者完全控制。
Cisco还发布了一则安全更新,修复Cisco Prime License Manager软件中的一个权限提升漏洞。
根据该公司的说法,目前没有变通措施可以用于修复这些漏洞。
Cisco将15日修复的五个安全漏洞的CVSS基础评分都评为9.8,所以这五个漏洞都是超危漏洞。
未经身份认证的攻击者可远程利用漏洞
在不需要用户交互的低复杂度的攻击中,未经身份认证的攻击者可远程利用这些漏洞。
Cisco本次修复的所有超危漏洞如下表。
漏洞 |
CVE-ID |
Cisco Small Business RV110W Wireless-N VPN Firewall静态默认凭据漏洞 |
CVE-2020-3330 |
Cisco Small Business RV110W,RV130,RV130W,和RV215W Routers Management Interface远程命令执行漏洞 |
CVE-2020-3323 |
Cisco RV110W,RV130,RV130W,和RV215W Routers身份认证绕过漏洞 |
CVE-2020-3144 |
Cisco RV110W和RV215W Series Routers任意代码执行漏洞 |
CVE-2020-3331 |
Cisco Prime License Manager权限提升漏洞 |
CVE-2020-3140 |
该公司在所有五则安全公告中都表示,“Cisco产品安全应急响应团队尚未获悉公告中描述的漏洞遭到公开披露或恶意利用。”
这些漏洞是由下列外部安全研究人员向Cisco报告的:XDSEC的Larryxi,GeekPwn的Gyengtak Kim,Jeongun Baek,和Sanghyuk Lee以及AdventHealth的Adam Engle。
Cisco 15日还修复了22个高危和中危安全漏洞,这些漏洞影响多款路由器型号和Cisco SD-WAN解决方案软件。