Cisco修复SD-WAN和Smart Software Manager产品中的

Cisco于1月20日发布安全更新，修正影响多款SD-WAN产品和Cisco Smart Software Manager软件的长途代码履行（RCE）缝隙。

SD-WAN是帮助办理WAN的软件产品，而Smart Software Manager是Cisco授权答应基于云的办理解决方案。

依据Cisco的安全布告，Cisco SD-WAN产品受到两个缓冲区溢出缝隙（CVE-2021-1300和CVE-2021-1301）的影响。

CVE-2021-1300源于对IP流量的处理错误，攻击者可借助歹意IP流量使用该缝隙，成功使用缝隙，攻击者能够root权限在底层操作体系上履行任意代码。Cisco将该缝隙的安全影响等级评价为高，CVSS 3.0基准评分为9.8。

CVE-2021-1301存在于Cisco SD-WAN软件的NETCONF子体系中。经身份验证的长途攻击者可使用该缝隙导致受影响的设备或体系拒绝服务。

这两个缝隙影响以下Cisco SD-WAN Software：

• IOS XE SD-WAN Software
• SD-WAN vBond Orchestrator Software
• SD-WAN vEdge Cloud Routers
• SD-WAN vEdge Routers
• SD-WAN vManage Software
• SD-WAN vSmart Controller Software

影响Cisco的云授权答应办理程序的RCE缝隙分别为CVE-2021-1138，CVE-2021-1139，CVE-2021-1140，CVE-2021-1141和CVE-2021-1142。Cisco Smart Software Manager Satellite 5.1.0及之前版别受到影响

这五个缝隙均存在于Cisco Smart Software Manager Satellite的web UI中，均源于不充分的输入验证。长途攻击者可通过向受影响的设备发送歹意HTTP恳求使用缝隙在底层操作体系上运行任意命令。对CVE-2021-1138，CVE-2021-1140和CVE-2021-1142的使用，无需身份验证；而使用CVE-2021-1139和CVE-2021-1141，要求攻击者经过身份验证。

Cisco已在6.3.0及之后版别中修正了上述缝隙，并将Cisco Smart Software Manager Satellite改名为Cisco Smart Software Manager On-Prem。

Cisco表示现在没有获悉前述缝隙遭到公开披露或歹意使用。这些缝隙是Cisco的安全研究人员在对受影响产品进行内部安全测验的过程中发现的。