思科修复了VPN路由器中关键远程代码执行漏洞

近日，思科思科修复了一组影响小型企业 VPN 路由器的修复行漏关键漏洞，该组漏洞允许未经身份验证的由器攻击者在易受攻击设备上执行任意代码或指令。

安全研究人员在基于 Web 管理界面和 Web 过滤器的中关数据库更新功能中发现了这组安全漏洞（分别追踪为 CVE-2022-20842 、 CVE-2022-20827 ），键远经过分析后发现，模板下载程代该组漏洞均是码执由输入验证不足引起的。

这些漏洞影响的思科路由器主要包括 Small Business RV160 、RV260 、修复行漏RV340和 RV345 系列 VPN 路由器（CVE-2022-20842 仅影响最后两个） 。由器

受漏洞影响的建站模板中关路由器系列

安全研究人员披露
，攻击者可以利用 CVE-2022-20842 配合精心制作的键远 HTTP 输入，在底层操作系统上以“root”身份执行任意代码或重新加载设备，程代从而导致 DoS 条件 
。码执

对于 CVE-2022-20827 ，思科攻击者能够利用该漏洞向 Web 过滤器数据库更新功能提交精心设计的输入指令 ，高防服务器以“ root”权限在底层操作系统上执行任意命令 。

上述漏洞由 IoT Inspector 研究实验室 、Chaitin 安全研究实验室和 CLP 团队的安全研究人员发现 。目前，思科已经发布了软件更新来解决这两个漏洞，但强调没有解决方法能够消除攻击向量。

值得一提的云计算是，思科近日修补了 RV160 、RV260 、RV340 和 RV345 系列路由器开放即插即用 (PnP) 模块中的高严重性漏洞 (CVE-2022-20841)。如果用户不及时更新补丁 ，攻击者可以利用该漏洞向未打补丁的源码库设备发送恶意指令，在底层 Linux 操作系统上执行任意操作
。

上月，思科还解决了 Cisco Nexus Dashboard 数据中心管理解决方案中的另一组严重安全漏洞 ，这些漏洞允许未经身份验证的攻击者使用 root 或管理员权限远程执行任意命令和操作。