发布时间:2019-11-15 20:48:37,来源:中国信息通信研究院
一、内容概述
Cisco多款产品存在任意命令执行漏洞,CVE编号:CVE-2019-15271。攻击者利用该漏洞可远程执行任意命令。
受影响版本:
Cisco RV016 Multi-WAN VPN Router <4.2.3.10
Cisco RV042 Dual WAN VPN Router <4.2.3.10
Cisco RV042G Dual Gigabit WAN VPN Router <4.2.3.10
Cisco RV082 Dual WAN VPN Router <4.2.3.10
二、详细说明
Cisco RV016 Multi-WAN VPN Router等都是美国思科(Cisco)公司的一款VPN(虚拟专用网络)路由器。
多款Cisco产品中的Web管理界面存在任意命令执行漏洞,该漏洞源于程序未能对HTTP payload进行输入验证,远程攻击者可通过发送恶意的HTTP请求利用该漏洞以root权限执行任意命令。
三、处理方法和建议
1) 漏洞修复建议:
目前厂商已发布漏洞修复程序,请及时关注更新:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-sbrv-cmd-x。
2) 参考链接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191106-sbrv-cmd-x