Cisco 修復 Webex、SD-WAN 軟件中高嚴重漏洞
思科已解決其產品中的多個漏洞,包括 Webex Player、SD-WAN 軟件和 ASR 5000 系列軟件中的高風險漏洞。
這家 IT 巨頭修復了影響 Windows 和 macOS 版 Webex Player 的三個高危漏洞(CVE-2021-1503、CVE-2021-1526、CVE-2021-1502)。CVE-2021-1502、CVE-2021-1503 都是內存損壞漏洞,會影響 Webex 網絡錄制播放器和 Webex 播放器版本 41.4 及更高版本。
“適用于 Windows 和 MacOS 的 Cisco Webex Network Recording Player 以及適用于 Windows 和 MacOS 的 Cisco Webex Player 中的一個漏洞可能允許攻擊者在受影響的系統上執行任意代碼。” 閱讀 CISCO 發布的 CVE-2021-1503 公告。“此漏洞是由于對高級錄制格式 (ARF) 或 Webex 錄制格式 (WRF) 的 Webex 錄制文件中的值驗證不足。攻擊者可以通過鏈接或電子郵件附件向用戶發送惡意 ARF 或 WRF 文件,并說服用戶使用本地系統上的受影響軟件打開該文件,從而利用此漏洞。”
CVE-2021-1526 是一個內存損壞問題,攻擊者可以利用該問題在受影響的系統上執行任意代碼。可以通過操縱的 Webex 錄制格式 (WRF) 文件利用該漏洞。
該漏洞影響適用于 Windows 和 MacOS 的 Cisco Webex Player,可被利用在易受攻擊的系統上執行任意代碼。
“此漏洞是由于 Webex 錄制文件格式 (WRF) 中的 Webex 錄制文件中的值驗證不足所致。攻擊者可以通過通過鏈接或電子郵件附件向用戶發送惡意 WRF 文件并說服用戶使用本地系統上的受影響軟件打開該文件來利用此漏洞。成功的利用可能允許攻擊者使用目標用戶的權限在受影響的系統上執行任意代碼。” 閱讀咨詢。
該公司還解決了 SD-WAN 軟件中的一個高風險漏洞,編號為 CVE-2021-1528。攻擊者可以利用該漏洞在易受攻擊的系統上獲得提升的權限。
該缺陷影響 SD-WAN 版本 20.4 和 20.5(vBond Orchestrator、vEdge Cloud 和 vEdge 路由器、vManage 和 vSmart 控制器)。
思科還修補了 ASR 5000 系列軟件 (StarOS) 中的兩個授權繞過問題,跟蹤為 CVE-2021-1539 和 CVE-2021-1540,這可能允許攻擊者繞過授權并在受影響的機器上執行 CLI 命令。
