首页 > 安全钻研 > 安全传递 > 安全公告

Cisco产品多个严沉缝隙安全公告

颁布功夫 2018-09-06

缝隙编号和级别

CVE编号：CVE-2018-0435，危险级别：严沉，CVSS分值：厂商自评9.1，官方未评定

CVE编号：CVE-2018-0423，危险级别：严沉，CVSS分值：厂商自评9.8，官方未评定

影响版本

CVE-2018-0435此缝隙影响Cisco Umbrella服务。

CVE-2018-0423此缝隙会影响以下Cisco产品的所有版本：
RV110W Wireless-N VPN防火墙
RV130W Wireless-N多职能VPN路由器

RV215W Wireless-N VPN路由器

缝隙概述

CVE-2018-0435 ：
Cisco Umbrella API中存在的缝隙可能允许经过身份验证的远程攻击者查看和批改其组织和其他组织中的数据。该缝隙的产生是由于Cisco Umbrella API接口的身份验证配置不及。成功利用该缝隙可能允许攻击者跨多个组织读取或批改数据。

CVE-2018-0423 ：
Cisco RV110W Wireless-N VPN防火墙、Cisco RV130W Wireless-N多职能VPN路由器和Cisco RV215W Wireless-N VPN路由器的Web治理界面中存在的缝隙可能允许未经身份验证的远程攻击者导致回绝服务攻击或执行肆意代码。该缝隙是由于Web治理界面的Guest用户职能中对用户提供的输入天堑限度不当造成的。攻击者能够通过向指标设备发送恶意要求来利用此缝隙，从而触发缓冲区溢出。成功利用该缝隙可能允许攻击者使设备终场响应，导致回绝服务攻击，或者允许攻击者执行肆意代码。

建复建议

CVE-2018-0435 ：
思科已经在Cisco Umbrella production API中建复了该缝隙。无需用户操作来利用补丁。
CVE-2018-0423 ：
对于Cisco RV130W Wireless-N多职能VPN路由器，思科颁布了免费的固件更新，客户能够通过Cisco.com上的软件中心下载固件更新https://software.cisco.com/download/home
对于Cisco RV110W Wireless-N VPN防火墙和Cisco RV215W Wireless-N VPN路由器，思科尚未颁布并且不会颁布解决该缝隙的固件更新。

参考链接

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-umbrella-api
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180905-rv-routers-overflow
https://www.zdnet.com/article/cisco-warns-customers-of-critical-security-flaws-advisory-includes-apache-struts/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Cisco产品多个严沉缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线