Компания Cisco выпустила обновления безопасности для устранения критической уязвимости удаленного выполнения кода (RCE), затрагивающей компонент удаленного управления программного обеспечения SD-WAN vManage.

Критическая уязвимость безопасности с идентификатором CVE-2021-1479 получила оценку 9,8 из 10. Данная уязвимость позволяет удаленным неаутентифицированным злоумышленникам, вызвать переполнение буфера на уязвимых устройствах. «Успешая эксплуатация может позволить злоумышленнику выполнить произвольный код в базовой операционной системе с привилегиями root», - пояснила Cisco.

Компания исправила две другие уязвимости высокой степени опасности в функциях работы с пользователями (CVE-2021-1137) и передачи системных файлов (CVE-2021-1480) того же продукта, позволяющие злоумышленникам повысить привилегии.

Успешное использование этих двух ошибок может позволить злоумышленникам, получить привилегии root в базовой операционной системе.

Уязвимости затрагивают Cisco SD-WAN vManage версий 20.4 и более ранних. Cisco устранила их в обновлениях безопасности 20.4.1, 20.3.3 и 19.2.4 и рекомендует пользователям как можно скорее перейти на исправленный выпуск.

Cisco также обнаружила критическую уязвимость RCE (CVE-2021-1459) в веб-интерфейсе управления маршрутизаторами Cisco Small Business RV110W, RV130, RV130W и RV215W. Обновления безопасности выпускаться не будут, поскольку срок службы этих устройств истек.

Дополнительная информация об уязвимостях и обновлениях доступна в рекомендациях по безопасности Cisco – cisco.com.

Источник: bleepingcomputer.com