漏洞情報 | Cisco Small Business RV160/RV260系列VPN路由器遠程命令執行漏洞

0x01 漏洞描述

Cisco Small Business RV160和RV260系列VPN Routers是美國思科（Cisco）公司的VPN路由器產品。

360漏洞云監測到Cisco Small Business RV160 和 RV260 系列 VPN Routers的web管理界面存在遠程命令執行漏洞（CVE-2021-1602）。該漏洞源于對用戶輸入的驗證不足，未經認證的遠程攻擊者可通過發送特制的請求到web管理界面，以root權限執行任意不帶參數的命令。

0x02 危害等級

高危：8.2

0x03 影響版本

固件版本小于 1.0.01.04 的下列Cisco Small Business Routers受此漏洞影響：

• RV160 VPN Routers
• RV160W Wireless-AC VPN Routers
• RV260 VPN Routers
• RV260P VPN Router with PoE
• RV260W Wireless-AC VPN Routers

0x04 修復版本

Cisco Small Business Routers 固件 1.0.01.04

0x05 修復建議

廠商已發布固件更新修復漏洞，用戶請盡快升級固件到安全版本。