思科修復 CMX 軟件中的高危漏洞

思科解決了數十個高嚴重性漏洞，其中包括AnyConnect安全移動客戶端及其小型企業路由器中的一些漏洞。

思科本周發布了安全更新，以解決67個高嚴重性漏洞，其中包括影響思科AnyConnect安全移動客戶端和小型企業路由器（即Cisco RV110W，RV130，RV130W和RV215W）的問題。該技術巨頭修復的漏洞之一，稱為CVE-2021-1144，是一個嚴重性漏洞，它會影響Cisco Connected Mobile Experiences（CMX），后者是一種智能Wi-Fi解決方案，它使用Cisco無線基礎設施來提供消費者移動設備的位置服務和位置分析。CMX支持組織的Wi-Fi和移動參與，并允許他們直接將內容傳遞到智能手機和平板電腦，這些智能手機和平板電腦可以根據訪問者的喜好進行個性化設置，并與他們的實時室內位置相關。

該漏洞的CVSS評分為8.8（滿分10），可以由遠程身份驗證的攻擊者利用，以更改受影響系統上任何帳戶用戶的密碼。

“Cisco Connected Mobile Experiences（CMX）中的漏洞可能允許未經管理特權的經過身份驗證的遠程攻擊者更改受影響系統上任何用戶的密碼。” 閱讀思科發布的建議。

“該漏洞是由于對更改密碼的授權檢查處理不當造成的。沒有管理特權的經過身份驗證的攻擊者可以通過將修改后的HTTP請求發送到受影響的設備來利用此漏洞。成功利用此漏洞可能使攻擊者更改系統上任何用戶（包括管理用戶）的密碼，然后冒充該用戶。”

該漏洞影響Cisco CMX版本10.6.0、10.6.1和10.6.2。

供應商通過發布10.6.3軟件版本解決了該漏洞，并且還通知客戶沒有解決此問題的變通辦法。

思科還解決了Windows的Cisco AnyConnect安全移動客戶端中的DLL注入漏洞，名為CVE-2021-1237。

該漏洞的CVSS評分為7.8，攻擊者可以利用它進行動態鏈接庫（DLL）注入攻擊。

Windows的Cisco AnyConnect安全移動客戶端的網絡訪問管理器和web安全代理組件中的漏洞可能允許經過身份驗證的本地攻擊者執行DLL注入攻擊。要利用此漏洞，攻擊者需要在Windows系統上具有有效的憑據。” 閱讀建議。

“該漏洞是由于對應用程序在運行時加載的資源的驗證不足所致。攻擊者可以通過在系統的特定路徑中插入配置文件來利用此漏洞，從而導致在應用程序啟動時加載惡意的DLL文件。成功的利用可能使攻擊者可以使用SYSTEM特權在受影響的計算機上執行任意代碼。”

思科還修復了小型企業RV110W，RV130，RV130W和RV215W路由器管理接口中的一系列漏洞，這些漏洞可能導致遠程命令執行和拒絕服務攻擊。