在四个 Cisco SMB 路由器系列中发现严重缺陷——今年第二次

思科透露其四个小型企业路由器系列存在严重缺陷——仅在 2022 年第二次。

周三的公告警告 RV160、RV260、RV340 和 RV345 系列路由器的所有者，这些漏洞可能允许“未经身份验证的远程攻击者执行任意代码或在受影响的设备上导致拒绝服务 (DoS) 条件”。

这四个范围在2022年 2 月被三个 10/10 的错误所破坏。

这一次是最严重的错误 - CVE-2022-20842 - 在通用漏洞评分系统 (CVSS) 上被评为 9.8/10。

利用一个漏洞可能需要利用另一个漏洞

思科表示，RV340、RV340W、RV345 和 RV345P 双广域网千兆 VPN 路由器基于 Web 的管理界面中存在漏洞，可能允许执行任意代码或导致受影响的设备意外重启，从而导致拒绝服务状况。“此漏洞是由于对基于 Web 的管理界面的用户提供的输入的验证不充分，”思科表示。

CVE-2022-20827 的等级为 9/10，适用于上述所有四个路由器系列。

思科将该漏洞描述为“网络过滤器数据库中的漏洞”，“可能允许未经身份验证的远程攻击者执行命令注入并以 root 权限在底层操作系统上执行命令。

“这个漏洞是由于输入验证不足，”思科补充说，这意味着攻击者将精心设计的输入提交到 Web 过滤器数据库更新功能，然后以 root 权限在底层操作系统上执行命令。

CVE-2022-20841 仅 8.3/10 被评为“高”风险错误，而不是上述两个 CVE 的“严重”状态。

“此漏洞是由于对用户提供的输入的验证不足，”思科再次解释了这一混乱情况。“攻击者可以通过向受影响的设备发送恶意输入来利用此漏洞。成功的利用可能允许攻击者在底层 Linux 操作系统上执行任意命令。要利用此漏洞，攻击者必须利用中间人位置或在连接到受影响路由器的特定网络设备上建立立足点。”

建议尽快修补所有三个漏洞，因为思科警告说“这些漏洞相互依赖。”

“利用其中一个漏洞可能需要利用另一个漏洞。此外，受其中一个漏洞影响的软件版本可能不受其他漏洞影响。”

至少设备的所有者（应该）最近有修补破旧盒子的经验。

另一个小小的怜悯是，思科不建议将产品分箱，就像几个月前它对RV110W、RV130、RV130W 和 RV215W路由器所做的那样。

当然，厌倦了更新小型企业路由器的用户可能会在没有思科建议的情况下决定这样做。