Среда, 09 июля 2025
Государственная служба кибербезопасности
при Агентстве «Türkmenaragatnaşyk»

Уязвимости в Cisco SD-WAN позволяют выполнять произвольный код

Компания Cisco исправила ряд критических уязвимостей в своих решениях для программно-определяемых глобальных сетей (SD-WAN).

В общей сложности было устранено восемь уязвимостей в SD-WAN, связанных с переполнением буфера и выполнением команд. Наиболее опасные проблемы могут быть использованы удаленным неавторизованным злоумышленником для выполнения произвольного кода на уязвимой системе с правами суперпользователя.

Одна из критических уязвимостей (CVE-2021-1299) содержится в web-интерфейсе управления программного обеспечения Cisco SD-WAN vManage. Проблема получила оценку в 9,9 балла из 10 по шкале CVSS и может позволить аутентифицированному удаленному злоумышленнику получить доступ корневого уровня к уязвимой системе и выполнять произвольные команды в качестве суперпользователя на системе.

Другая опасная уязвимость (CVE-2021-1300) переполнения буфера получила оценку в 9,8 балла из 10 по шкале CVSS и связана с некорректной обработкой IP-трафика.

Проблемы затрагивают следующие продукты с уязвимой версией программного обеспечения SD-WAN: IOS XE SD-WAN Software, SD-WAN vBond Orchestrator Software, SD-WAN vEdge Cloud Routers, SD-WAN vEdge Routers, SD-WAN vManage Software и SD-WAN vSmart Controller Software.

Три другие критические уязвимости (CVE-2021-1138, CVE-2021-1140 и CVE-2021-1142) были исправлены в сателлите Cisco Smart Software Manager и получили оценку в 9,8 балла из 10 по шкале CVSS. Они связаны с пользовательским web-интерфейсом Cisco Smart Software Manager и могут позволить удаленному неавторизованному злоумышленнику выполнять произвольные команды в качестве пользователя с высокими привилегиями на уязвимом устройстве.

Проблемы затрагивают версии Cisco Smart Software Manager Satellite 5.1.0 и старше, и были исправлены в версиях 6.3.0 и младше.

Еще одна проблема была обнаружена в инструменте Command Runner в Cisco DNA Center. Уязвимость (CVE-2021-1264) получила оценку в 9,6 балла из 10 по шкале CVSS и затрагивает все версии программного обеспечения Cisco DNA Center старше 1.3.1.0. Уязвимость исправлена в версиях программного обеспечения 1.3.1.0 и младше.

Источник: securitylab.ru

22 января 2021

-
84
Mozilla выпустила обновления безопасности

07 июля 2025

-
25
Компания Cisco выпустила обновления безопасности для нескольких продуктов

03 июля 2025

-
18
Обновление Microsoft Edge исправило несколько уязвимостей безопасности

02 июля 2025

-
32