Cisco 修复 Webex、SD-WAN 软件中高严重漏洞

思科已解决其产品中的多个漏洞，包括 Webex Player、SD-WAN 软件和 ASR 5000 系列软件中的高风险漏洞。

这家 IT 巨头修复了影响 Windows 和 macOS 版 Webex Player 的三个高危漏洞（CVE-2021-1503、CVE-2021-1526、CVE-2021-1502）。CVE-2021-1502、CVE-2021-1503 都是内存损坏漏洞，会影响 Webex 网络录制播放器和 Webex 播放器版本 41.4 及更高版本。

“适用于 Windows 和 MacOS 的 Cisco Webex Network Recording Player 以及适用于 Windows 和 MacOS 的 Cisco Webex Player 中的一个漏洞可能允许攻击者在受影响的系统上执行任意代码。” 阅读 CISCO 发布的 CVE-2021-1503 公告。“此漏洞是由于对高级录制格式 (ARF) 或 Webex 录制格式 (WRF) 的 Webex 录制文件中的值验证不足。攻击者可以通过链接或电子邮件附件向用户发送恶意 ARF 或 WRF 文件，并说服用户使用本地系统上的受影响软件打开该文件，从而利用此漏洞。”

CVE-2021-1526 是一个内存损坏问题，攻击者可以利用该问题在受影响的系统上执行任意代码。可以通过操纵的 Webex 录制格式 (WRF) 文件利用该漏洞。

该漏洞影响适用于 Windows 和 MacOS 的 Cisco Webex Player，可被利用在易受攻击的系统上执行任意代码。

“此漏洞是由于 Webex 录制文件格式 (WRF) 中的 Webex 录制文件中的值验证不足所致。攻击者可以通过通过链接或电子邮件附件向用户发送恶意 WRF 文件并说服用户使用本地系统上的受影响软件打开该文件来利用此漏洞。成功的利用可能允许攻击者使用目标用户的权限在受影响的系统上执行任意代码。” 阅读咨询。

该公司还解决了 SD-WAN 软件中的一个高风险漏洞，编号为 CVE-2021-1528。攻击者可以利用该漏洞在易受攻击的系统上获得提升的权限。

该缺陷影响 SD-WAN 版本 20.4 和 20.5（vBond Orchestrator、vEdge Cloud 和 vEdge 路由器、vManage 和 vSmart 控制器）。

思科还修补了 ASR 5000 系列软件 (StarOS) 中的两个授权绕过问题，跟踪为 CVE-2021-1539 和 CVE-2021-1540，这可能允许攻击者绕过授权并在受影响的机器上执行 CLI 命令。