思科提醒注意Small Business路由器中的XSS漏洞
编译:代码卫士
该中危漏洞编号是CVE-2024-20362,位于思科 Small Business RV016、RV042、RV042G、RV082和RV325路由器的 web 管理接口中。未认证的远程攻击者可对接口用户实施XSS攻击。
思科表示受影响设别已达生命周期,将不会发布软件更新,也不存在应变措施。
思科在安全公告中提到,“该漏洞是因为web管理接口的输入验证不当造成的。攻击者可说服用户访问包含恶意 payload的特定网页,利用该漏洞。成功利用该漏洞可导致攻击者在受影响接口的上下文中执行任意脚本代码或访问敏感的基于浏览器的信息。”
该漏洞影响所有如下软件发布:
RV016 Multi-WAN VPN Routers
RV042 Dual WAN VPN Routers
RV042G Dual Gigabit WAN VPN Routers
RV082 Dual WAN VPN Routers
RV320 Dual Gigabit WAN VPN Routers
RV325 Dual Gigabit WAN VPN Routers
思科建议禁用远程管理功能,拦截对443和60443端口的访问,缓解该漏洞。之后,用户仍可通过LAN接口访问设备。思科并未发现该漏洞已遭利用的迹象。思科建议用户尽快更新至最新版本。如下版本不受影响:
RV160 VPN Routers
RV160W Wireless-AC VPN Routers
RV260 VPN Routers
RV260P VPN Routers with PoE
RV260W Wireless-AC VPN Routers
RV340 Dual WAN Gigabit VPN Routers
RV340W Dual WAN Gigabit Wireless-AC VPN Routers
RV345 Dual WAN Gigabit VPN Routers
RV345P Dual WAN Gigabit PoE VPN Routers
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。