思科通报了SmallBusiness系列路由器的XSS漏洞,影响多个型号。无须认证的攻击者可利用此漏洞执行脚本或获取敏感信息。建议禁用远程管理并封锁相关端口。奇安信代码卫士提供安全解决方案。
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
思科提醒注意 Small Business RV016、RV042、RV042G、RV082和RV325路由器中的一个XSS漏洞。
该中危漏洞编号是CVE-2024-20362,位于思科 Small Business RV016、RV042、RV042G、RV082和RV325路由器的 web 管理接口中。未认证的远程攻击者可对接口用户实施XSS攻击。
思科表示受影响设别已达生命周期,将不会发布软件更新,也不存在应变措施。
思科在安全公告中提到,“该漏洞是因为web管理接口的输入验证不当造成的。攻击者可说服用户访问包含恶意 payload的特定网页,利用该漏洞。成功利用该漏洞可导致攻击者在受影响接口的上下文中执行任意脚本代码或访问敏感的基于浏览器的信息。”
该漏洞影响所有如下软件发布:
RV016 Multi-WAN VPN Routers
RV042 Dual WAN VPN Routers
RV042G Dual Gigabit WAN VPN Routers
RV082 Dual WAN VPN Routers
RV320 Dual Gigabit WAN VPN Routers
RV325 Dual Gigabit WAN VPN Routers
思科建议禁用远程管理功能,拦截对443和60443端口的访问,缓解该漏洞。之后,用户仍可通过LAN接口访问设备。思科并未发现该漏洞已遭利用的迹象。思科建议用户尽快更新至最新版本。如下版本不受影响:
RV160 VPN Routers
RV160W Wireless-AC VPN Routers
RV260 VPN Routers
RV260P VPN Routers with PoE
RV260W Wireless-AC VPN Routers
RV340 Dual WAN Gigabit VPN Routers
RV340W Dual WAN Gigabit Wireless-AC VPN Routers
RV345 Dual WAN Gigabit VPN Routers
RV345P Dual WAN Gigabit PoE VPN Routers
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
思科称严重的 Unity Connection 漏洞可导致攻击者获得root权限
原文链接
https://securityaffairs.com/161540/security/cisco-eof-routers-xss.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
