光年网盟

思科Cisco SD-WAN vManage软件爆发多个漏洞,影响大范围设备,赶紧升级修复

编辑:光年网盟 发布时间:2020-07-27 16:16:01 分类:网盟学院 |


Cisco SD-WAN vManage Software是美国思科(Cisco)公司的一款用于SD-WAN(软件定义广域网络)解决方案的管理软件。不过根据7月安全漏洞调查显示,该管理软件爆出了多个高危漏洞。以下是漏洞详情:

1.拒绝服务漏洞CVE-2020-3372

该漏洞是由于内存管理效率低下造成的。攻击者可以通过向受影响的基于Web的管理界面发送大量精心设计的HTTP请求来利用此漏洞。成功利用该漏洞可能使攻击者耗尽系统内存,这可能导致系统停止处理新连接并可能导致DoS(拒绝服务)状态。

影响产品

此漏洞影响了Cisco SD-WAN vManage软件版本19.2.3之前版本以及20.1.12之前版本

修复漏洞

Cisco vManage Software版本19.2.3和更高版本以及版本20.1.12和更高版本包含此漏洞的修复程序。

2.SQL注入漏洞CVE-2020-3378

该漏洞是由于对用户提供的输入的验证不足所致。攻击者可以通过向受影响的系统发送包含SQL语句的精心设计的输入来利用此漏洞。成功利用该漏洞可能使攻击者修改某些数据库表中的条目,从而影响数据的完整性。

影响产品

此漏洞影响了Cisco SD-WAN vManage软件版本19.2.3之前版本以及18.4.5之前版本

修复漏洞

Cisco vManage Software版本18.4.5和更高版本以及版本19.2.3和更高版本包含此漏洞的修复程序。

3.路径遍历漏洞CVE-2020-3401

该漏洞是由于HTTP请求验证不足所致。攻击者可以通过向受影响的系统发送包含目录遍历字符序列的精心设计的HTTP请求来利用此漏洞。成功利用此漏洞可能使攻击者可以在受影响的系统上查看任意文件。

影响产品

此漏洞影响了Cisco SD-WAN vManage软件版本19.2.2及更早版本

修复漏洞

Cisco SD-WAN vManage软件版本19.2.3包含针对此漏洞的修复程序。

4.跨站脚本漏洞CVE-2020-3406

存在此漏洞是因为基于Web的管理界面无法正确验证用户提供的输入。攻击者可以说服用户单击精心设计的链接来利用此漏洞。成功的利用可能使攻击者可以在界面的上下文中执行任意脚本代码,或访问敏感的基于浏览器的信息。

影响产品

此漏洞影响了Cisco SD-WAN vManage软件版本19.2.2及更早版本

修复漏洞

Cisco SD-WAN vManage软件版本19.2.3包含针对此漏洞的修复程序。

5.后置链接漏洞CVE-2020-3437

Cisco SD-WAN vManage Software 19.2.3之前版本中的Web管理界面存在后置链接漏洞,该漏洞源于程序未能充分限制文件范围。远程攻击者可利用该漏洞读取设备文件系统上的任意文件。

影响产品

此漏洞影响了Cisco SD-WAN vManage软件版本19.2.2及更早版本

修复漏洞

Cisco SD-WAN vManage软件版本19.2.3及更高版本可修复此漏洞。

6.XML注入漏洞CNVD-2020-41237/CVE-2020-3405

Cisco SD-WAN vManage Software 19.2.2及之前版本中的Web UI存在XML外部实体注入漏洞,该漏洞源于程序未能正确解析XML外部实体条目,远程攻击者可借助特制XML文件利用该漏洞在受影响的应用程序中读写文件。

影响产品

此漏洞影响了Cisco SD-WAN vManage软件版本19.2.2及更早版本

修复漏洞

Cisco SD-WAN vManage软件版本19.2.3及更高版本可修复此漏洞。

文章分类
热门文章
  • 网络机顶盒哪个好?2020年网络机顶盒十大权威排名
  • 软银巨亏是怎么回事?软银集团巨额亏损原因曝光
  • 阿里回应侵权育碧游戏事件:尊重对方,没有侵权
  • 开放银行困境:“数据绝不开放”,获客转化只有万分之一
  • 微信照片过期如何还原?这些方法后悔没学会
  • 芒果超媒申请解除1489万股限售股份 占总股本1.4218%
  • 快手京东战略合作是怎么回事?快手京东合作原因
  • 起诉爱奇艺用户再发声 感觉隐私被侵犯
  • 孟晚舟案即将裁决 有望最快下周三被释放
  • 关于KOL/主播/带货,我整理了 20个行业真相
  • 你还在找抖音怎么拍视频教程吗?知道了这几个网站就够了!
  • 微软推送Windows 10 v1803版死亡通知 11月12日停止更新
  • “当你放假第一天回家”系列涨粉552万!这首抖音魔性BGM谁用谁爆款
  • 搜索引擎“出框”, 一场技术、人性、规模的合谋
  • 乘风破浪的主播详细介绍 阿里官宣直播电商选秀节目
  • “天府杯”2019国际网络安全大赛暨高峰论坛即将启幕
  • 全家便利店道歉什么原因?全家便利店道歉内容全文
  • iQOO Neo3新品发布性能强悍,仅2698元起
  • 微信拍一拍可以设置后缀了,可自定义拍一拍内容
  • 特斯拉拟在实现全自动驾驶前推出拼车应用 司机使用自家保险服务
  • Mellanox引领NVMe在TCP和RoCE网络的性能新高度
  • 马斯克该拿什么证明特斯拉估值?苹果的利润、大众的营收
  • 华为Mate30系列电影四摄实力展现,每个人都能是生活的导演
  • 揭秘“淘宝直播一姐”薇娅,秒杀全网背后有14个“可复制”的带货技巧
  • 美术生,你有实力拿下这笔补贴吗 中国美术考学协会“伯乐行动”8000万补贴潜力美术生
  • 马斯克警告:未来几年“汽油汽车”剩余价值将会大幅下降
  • Steam客户端被曝存在0Day漏洞,超1亿用户受影响
  • 网红李子柒又惹争议 微博CEO:实打实的文化输出
  • 不知不觉间,每年的双11已经成为国内消费者的购物狂欢节
  • 2020网络机顶盒十大排名:十款评分超高的电视盒子