思科修复 CMX 软件中的高危漏洞

思科解决了数十个高严重性漏洞，其中包括AnyConnect安全移动客户端及其小型企业路由器中的一些漏洞。

思科本周发布了安全更新，以解决67个高严重性漏洞，其中包括影响思科AnyConnect安全移动客户端和小型企业路由器（即Cisco RV110W，RV130，RV130W和RV215W）的问题。该技术巨头修复的漏洞之一，称为CVE-2021-1144，是一个严重性漏洞，它会影响Cisco Connected Mobile Experiences（CMX），后者是一种智能Wi-Fi解决方案，它使用Cisco无线基础设施来提供消费者移动设备的位置服务和位置分析。CMX支持组织的Wi-Fi和移动参与，并允许他们直接将内容传递到智能手机和平板电脑，这些智能手机和平板电脑可以根据访问者的喜好进行个性化设置，并与他们的实时室内位置相关。

该漏洞的CVSS评分为8.8（满分10），可以由远程身份验证的攻击者利用，以更改受影响系统上任何帐户用户的密码。

“Cisco Connected Mobile Experiences（CMX）中的漏洞可能允许未经管理特权的经过身份验证的远程攻击者更改受影响系统上任何用户的密码。” 阅读思科发布的建议。

“该漏洞是由于对更改密码的授权检查处理不当造成的。没有管理特权的经过身份验证的攻击者可以通过将修改后的HTTP请求发送到受影响的设备来利用此漏洞。成功利用此漏洞可能使攻击者更改系统上任何用户（包括管理用户）的密码，然后冒充该用户。”

该漏洞影响Cisco CMX版本10.6.0、10.6.1和10.6.2。

供应商通过发布10.6.3软件版本解决了该漏洞，并且还通知客户没有解决此问题的变通办法。

思科还解决了Windows的Cisco AnyConnect安全移动客户端中的DLL注入漏洞，名为CVE-2021-1237。

该漏洞的CVSS评分为7.8，攻击者可以利用它进行动态链接库（DLL）注入攻击。

Windows的Cisco AnyConnect安全移动客户端的网络访问管理器和web安全代理组件中的漏洞可能允许经过身份验证的本地攻击者执行DLL注入攻击。要利用此漏洞，攻击者需要在Windows系统上具有有效的凭据。” 阅读建议。

“该漏洞是由于对应用程序在运行时加载的资源的验证不足所致。攻击者可以通过在系统的特定路径中插入配置文件来利用此漏洞，从而导致在应用程序启动时加载恶意的DLL文件。成功的利用可能使攻击者可以使用SYSTEM特权在受影响的计算机上执行任意代码。”

思科还修复了小型企业RV110W，RV130，RV130W和RV215W路由器管理接口中的一系列漏洞，这些漏洞可能导致远程命令执行和拒绝服务攻击。