思科修复了一个CVSS评分为10分的漏洞 (CVE-2024-20418)，它可导致攻击者以 root 权限在为工业无线自动化提供连接的易受攻击的 URWB 访问点上运行命令。

该漏洞位于思科Unified Industrial Wireless Software 的 web 管理接口中。未认证的威胁行动者可在复杂度低的命令注入攻击中利用该漏洞，而无需用户交互。思科在本周三发布的安全公告中提到，“该漏洞是因为对 web 管理接口的输入验证不当造成的。攻击者可将构造的 HTTP 请求发送给受影响系统的 web 管理接口，利用该漏洞。成功利用将导致攻击者以 root 权限在受影响设备的底层操作系统上运行任意命令。”

思科解释称，该漏洞影响 Catalyst IW9165D Heavy Duty Access Points、Catalyst IW9165E Rugged Access Points and Wireless Clients 和 Catalyst IW9167E Heavy Duty Access Points，不过前提是它们在运行易受攻击的软件并启用了 URWB 操作模式。

思科产品安全事件响应团队 (PSIRT) 尚未发现公开的利用代码或该漏洞已遭利用的整局。

管理员可通过查看 “show mpls-config” CLI 命令是否可用的方式，判断 URWB 运营模式是否启用。如该命令不可用，URWB 未启用，则该设备不会受该漏洞影响。

思科还在7月份修复了位于思科 ASA 和 Firepower Threat Defense (FTD) 软件中的一个DoS 漏洞。该漏洞在4月份发现，当时被用于针对思科 VPN 设备的大规模暴力攻击活动中。

一个月之前，思科发布安全更新，修复了利用代码已公开的另外一个命令注入漏洞，可导致攻击者将在易受攻击系统上的权限提升为root。7月份，鉴于思科、Palo Alto 和 Ivanti 网络边缘设备遭多个漏洞（CVE-2024-20399、CVE-2024-3400和CVE-2024-21887）利用攻击，CISA和FBI 督促软件企业在交付前消除路径OS命令注入漏洞。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~