1月19日，思科發布了安全公告，旗下小型企業RV110W，RV130，RV130W和RV215W路由器中發現了遠程命令執行等高危漏洞，建議盡快升級。以下是漏洞詳情：

漏洞詳情

思科小型企業RV110W，RV130，RV130W和RV215W路由器UPnP遠程命令執行和拒絕服務漏洞

CVE-2021-1164 CVSS評分： 9.8 危急

思科小型企業RV110W，RV130，RV130W和RV215W路由器的通用即插即用（UPnP）服務中的漏洞可能允許未經身份驗證的遠程攻擊者執行任意代碼，或使受影響的設備意外重啟。

該漏洞是由于傳入的UPnP流量驗證不正確造成的。攻擊者可以通過向受影響的設備發送精心制作的UPnP請求來利用此漏洞。成功的利用可能使攻擊者能夠以root用戶身份在底層操作系統上執行任意代碼，或導致設備重新加載，從而導致拒絕服務（DoS）條件。

思科小型企業RV110W，RV130，RV130W和RV215W路由器管理接口遠程命令執行和服務拒絕漏洞

CVE-2021-1159，。CVE-2021-1360 CVSS評分：7.2 高

Cisco Small Business RV110W，RV130，RV130W和RV215W路由器的基于Web的管理界面中的多個漏洞可能允許經過身份驗證的遠程攻擊者執行任意代碼，或使受影響的設備意外重啟。

該漏洞是由于在基于Web的管理界面中對用戶提供的輸入的不正確驗證引起的。攻擊者可以通過將精心制作的HTTP請求發送到受影響的設備來利用這些漏洞。成功的利用可能使攻擊者能夠以root用戶身份在底層操作系統上執行任意代碼，或導致設備重新加載，從而導致拒絕服務（DoS）條件。要利用這些漏洞，攻擊者需要在受影響的設備上具有有效的管理員憑據。

受影響產品

這些漏洞影響以下Cisco Small Business路由器：

RV110W Wireless-N VPN防火墻

RV130 VPN路由器

RV130W Wireless-N多功能VPN路由器

RV215W Wireless-N VPN路由器

解決方案

由于思科精睿RV110W，RV130，RV130W和RV215W路由器已經停止提供技術支持，壽終正寢，因此思科尚未發布，也不會發布軟件更新來解決此通報中描述的漏洞。思科建議客戶遷移到Cisco小型企業RV132W，RV160或RV160W路由器。
責任編輯:pj