首頁 > 安全研究 > 安全通報 > 安全通告

思科修復其SD-WAN解決方案中的多個漏洞風險通告

發布時間 2020-03-19

漏洞編號和級別


CVE編號:CVE-2020-3265,危險級別:高危,CVSS分值:廠商自評:7.0,官方未評定

CVE編號:CVE-2020-3266,危險級別:高危,CVSS分值:廠商自評:7.8,官方未評定

CVE編號:CVE-2020-3264,危險級別:高危,CVSS分值:廠商自評:7.1,官方未評定


影響版本


運行著Cisco SD-WAN Solution Release 19.2.2之前版本的以下產品:


vBond Orchestrator Software

vEdge 100 Series Routers

vEdge 1000 Series Routers

vEdge 2000 Series Routers

vEdge 5000 Series Routers

vEdge Cloud Router Platform

vManage Network Management Software

vSmart Controller Software


漏洞概述


Cisco SD-WAN Solution是美國思科(Cisco)公司的一套網絡擴展解決方案。


近日,思科發布安全公告,修復了其SD-WAN解決方案中的五個漏洞,其中包括三個高危漏洞,概述如下:


CVE-2020-3265

Cisco SD-WAN Solution software Release 19.2.2之前版本中存在權限許可和訪問控制問題漏洞,該漏洞源于程序沒有充分進行輸入驗證。本地攻擊者可通過發送特制的請求利用該漏洞獲取root權限。


CVE-2020-3266

Cisco SD-WAN Solution software Release 19.2.2之前版本中的CLI存在命令注入漏洞,該漏洞源于程序沒有充分進行輸入驗證。本地攻擊者可通過進行身份驗證并提交特制的輸入利用該漏洞以root權限執行命令。


CVE-2020-3264

Cisco SD-WAN Solution software Release 19.2.2之前版本中存在緩沖區錯誤漏洞,該漏洞源于不充分的輸入驗證。本地攻擊者可通過發送特制的流量利用該漏洞訪問沒有授權的信息或對系統進行未授權的修改。


漏洞驗證


暫無PoC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwpresc-ySJGvE9

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwclici-cvrQpH9v

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sdwanbo-QKcABnS2


參考鏈接


https://tools.cisco.com/security/center/publicationListing.x


上一篇 下一篇