Cisco不会修补影响寿命终止业务路由器的关键RCE缺陷

网络设备大型思科系统公司（Cisco Systems）表示，它不打算修复影响其一些小型企业路由器的关键安全漏洞，而是敦促用户更换这些设备。

该漏洞被追踪为CVE-2021-1459，CVSS评分为9.8分（满分10分），影响RV110W VPN防火墙和小型企业RV130、RV130W和RV215W路由器，允许未经验证的远程攻击者在受影响的设备上执行任意代码。

该漏洞源于对基于web的管理界面中用户提供的输入进行不正确的验证，恶意参与者可以利用该漏洞向目标设备发送精心编制的HTTP请求，并实现远程代码执行。

“成功利用此漏洞可使攻击者以受影响设备的底层操作系统的根用户身份执行任意代码，”Cisco在其公告中说。

安全研究员Treck Zhou报告了该漏洞。尽管该公司指出，没有证据表明有人试图在野外进行积极的开发，但它并不打算发布补丁或提供任何解决方案，理由是这些产品已达到使用寿命。

该公司表示：“思科小型企业RV110W、RV130、RV130W和RV215W路由器已进入报废过程。”。“鼓励客户迁移到思科小型企业RV132W、RV160或RV160W路由器。”

另外，Cisco还发布了软件更新，以解决Cisco SD-WAN vManage软件（CVE-2021-1137、CVE-2021-1479和CVE-2021-1480）中的多个漏洞，这些漏洞可能允许未经身份验证的远程攻击者执行任意代码，或允许经过身份验证的本地攻击者在受影响的系统上获得升级权限。

由于存在缓冲区溢出情况，CVE-2021-1479的严重性等级为9.8，成功利用该漏洞“可能会允许攻击者以root权限在底层操作系统上执行任意代码”