思科修复了VPN路由器中重要远程代码执行漏洞

最近，思科已经解决了几个对于小企业的VPN路由器至关重要的漏洞，该组漏洞允许未经身份验证的攻击者在易受攻击设备上执行任意代码或指令。

安全研究人员在基于 Web 管理界面和 Web 过滤器的数据库更新功能中发现了这组安全漏洞（分别追踪为 CVE-2022-20842 、 CVE-2022-20827 ），经过分析后发现，该组漏洞均是由输入验证不足引起的。

安全研究人员披露，攻击者可以利用 CVE-2022-20842 配合精心制作的 HTTP 输入，在底层操作系统上以“root”身份执行任意代码或重新加载设备，从而导致 DoS 条件。

对于 CVE-2022-20827，攻击者能够利用该漏洞向 Web 过滤器数据库更新功能提交精心设计的输入指令，以“ root”为主的权限在安全的底层操作系统上可以执行任意命令。

值得一提的是，思科近日修补了 RV160、RV260、RV340和 RV345 系列路由器开放即插即用 (PnP) 模块中的高严重性漏洞 (CVE-2022-20841)。如果用户不及时更新补丁，攻击者可以利用该漏洞向未打补丁的设备发送恶意指令，在底层 Linux 操作系统上执行任意操作。这种病毒的传播速度非常快，一般情况下，只要用户没有及时更新补丁，就会导致系统崩溃，从而造成财产损失。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!