思科提醒注意Small Business路由器中的XSS漏洞
2024-4-7 17:37:14 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

思科提醒注意 Small Business RV016、RV042、RV042G、RV082和RV325路由器中的一个XSS漏洞。

该中危漏洞编号是CVE-2024-20362,位于思科 Small Business RV016、RV042、RV042G、RV082和RV325路由器的 web 管理接口中。未认证的远程攻击者可对接口用户实施XSS攻击。

思科表示受影响设别已达生命周期,将不会发布软件更新,也不存在应变措施。

思科在安全公告中提到,“该漏洞是因为web管理接口的输入验证不当造成的。攻击者可说服用户访问包含恶意 payload的特定网页,利用该漏洞。成功利用该漏洞可导致攻击者在受影响接口的上下文中执行任意脚本代码或访问敏感的基于浏览器的信息。”

该漏洞影响所有如下软件发布:

  • RV016 Multi-WAN VPN Routers

  • RV042 Dual WAN VPN Routers

  • RV042G Dual Gigabit WAN VPN Routers

  • RV082 Dual WAN VPN Routers

  • RV320 Dual Gigabit WAN VPN Routers

  • RV325 Dual Gigabit WAN VPN Routers

思科建议禁用远程管理功能,拦截对443和60443端口的访问,缓解该漏洞。之后,用户仍可通过LAN接口访问设备。思科并未发现该漏洞已遭利用的迹象。思科建议用户尽快更新至最新版本。如下版本不受影响:

  • RV160 VPN Routers

  • RV160W Wireless-AC VPN Routers

  • RV260 VPN Routers

  • RV260P VPN Routers with PoE

  • RV260W Wireless-AC VPN Routers

  • RV340 Dual WAN Gigabit VPN Routers

  • RV340W Dual WAN Gigabit Wireless-AC VPN Routers

  • RV345 Dual WAN Gigabit VPN Routers

  • RV345P Dual WAN Gigabit PoE VPN Routers

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

思科服务器管理工具中存在 XSS 0day

思科IOS 漏洞可导致未认证的远程DoS 攻击

思科提醒注意通信软件中的严重 RCE 漏洞

思科称严重的 Unity Connection 漏洞可导致攻击者获得root权限

罗克韦尔自动化称 Stratix 交换机受思科0day影响

原文链接
https://securityaffairs.com/161540/security/cisco-eof-routers-xss.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519231&idx=2&sn=b7b32d73cbe2046719780c03304729ce&chksm=ea94ba95dde333834c93da6e263ab3af72ce14f2a171799c65802dab992336cd0c1a96492159&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh