思科周三宣布,已在其SD-WAN解决方案中修补了总共五个漏洞,其中三个漏洞被评为“严重”。
高严重性漏洞(所有这些漏洞均由Orange Group报告给Cisco)是由输入验证不足引起的。可以利用它们对系统进行未经授权的更改,将特权升级为root以及注入以root权限执行的任意命令。
根据思科的说法,这三个高度严重的漏洞只能由经过身份验证的本地攻击者利用。利用涉及将特制请求或特制输入发送到目标系统。
如果安全漏洞运行的是19.2.2之前的SD-WAN版本,则可能会影响多个Cisco产品,包括vBond Orchestrator,vEdge路由器,vManage网络管理软件和vSmart控制器软件。
Synacktiv的Julien Legras和Thomas Etrillard告诉思科,其SD-WAN vManage软件受到SQL注入和跨站点脚本(XSS)漏洞的影响。这些漏洞可以远程利用,但需要进行身份验证。
思科表示,没有证据表明这些漏洞已被恶意攻击利用。
思科官网相关链接:https://tools.cisco.com/security/center/publicationListing.x可查看具体。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。