思科已修复各种设备中33个CVE编号的安全漏洞,其中包括五个影响RV系列VPN路由器、防火墙以及Cisco Prime License Manager的严重缺陷。
利用这些漏洞攻击者可以通过具有默认和静态密码(CVE-2020-3330)的系统帐户来接管固件版本低于v1.2.2.8的Cisco Small Business RV110W Wireless-N VPN防火墙。
思科小型企业RV110W,RV130,RV130W和RV215W路由器的Web管理界面存在安全漏洞,允许未经身份验证的远程攻击者可以通过Web管理界面在设备上执行任意代码(CVE-2020-3323)。这些相同设备上的相同接口还具有身份验证绕过漏洞,该漏洞可以通过向受影响设备发送精心设计的HTTP请求来触发,并且可以使攻击者获得对设备的管理访问权限(CVE-2020-3144)。
RV110W Wireless-N VPN防火墙和RV215W Wireless-N VPN路由器也存在一个漏洞,可以通过向目标设备发送精心制作的请求来利用此漏洞,并且可以允许攻击者以root用户的特权执行任意代码(CVE-2020 -3331)。
最后,影响Cisco Prime License Manager的漏洞是特权升级漏洞(CVE-2020-3140)。在各种Cisco SD-WAN解决方案,Cisco WebEx,Cisco Vision Dynamic Signage Director,Cisco数据中心网络管理器,Cisco Meetings App和Cisco Content Security Management Appliance中发现了已修复的其他次要漏洞。