思科针对其产品中的32个缺陷发布安全补丁更新

在其余29个漏洞中，有14个被评为高级别，15个被评为中等级别，解决了Cisco路由器、Cisco Webex、Cisco Umbrella、Cisco SD-WAN解决方案、Cisco云服务平台、Cisco数据中心网络等产品中的安全缺陷。

Cisco修补的三个关键安全漏洞解决了Apache Struts、Cisco伞形API以及Cisco RV110W、RV130W和RV215W路由器管理界面中的问题。

Apache Struts远程代码执行漏洞（CVE-2018-11776）

Semmle安全研究人员Man Yue Mo上月晚些时候报告了该漏洞，该漏洞位于Apache Struts的核心，源于在某些配置下，对Struts框架核心中用户提供的不可信输入的验证不足。

“该漏洞的存在是因为受影响的软件未充分验证用户提供的输入，允许使用没有名称空间值的结果，以及使用没有值或操作的url标记，”Cisco在其建议中解释道。

“如果上层操作或配置也没有名称空间或通配符名称空间，攻击者可以通过发送请求，将恶意输入提交给受影响的应用程序进行处理，从而利用此漏洞进行攻击”。

未经验证的远程攻击者可以通过诱骗受害者访问受影响web服务器上精心编制的URL来触发该漏洞，从而允许攻击者执行恶意代码，并最终完全控制运行有漏洞应用程序的目标服务器。

所有使用Apache Struts的应用程序，受支持的版本（Struts 2.3到Struts 2.3.34，Struts 2.5到Struts 2.5.16），甚至一些不受支持的Apache Struts版本，即使没有启用其他插件，也可能容易受到此漏洞的攻击。

Apache Struts上个月发布了Struts版本2.3.35和2.5.17，修补了该漏洞。现在，思科也发布了修复程序，以解决其多个产品中的问题。你可以在这里查看易受攻击的Cisco产品列表。

由于这个问题没有解决方法，所以强烈建议组织和开发人员尽快更新他们的Struts组件。

Cisco伞形API未经授权访问漏洞（CVE-2018-0435）

Cisco修补的第二个关键漏洞存在于Cisco Umbrella API中，该API允许经过身份验证的远程攻击者在其组织以及其他组织中查看和修改数据。

Cisco Umbrella是一个云安全平台，通过在建立连接或下载文件之前阻止对恶意域、URL、IP和文件的访问，为所有端口和协议上的威胁提供第一道防线。

该漏洞是由于Cisco Umbrella API接口的身份验证配置不足而存在的，成功利用该漏洞可使攻击者跨多个组织读取或修改数据。

Cisco已修补该漏洞，并在Cisco伞形生产API中解决了该漏洞。无需用户操作。

Cisco路由器管理接口缓冲区溢出漏洞（CVE-2018-0423）

最后一个（但并非最不重要的）关键漏洞存在于Cisco RV110W Wireless-N VPN防火墙、Cisco RV130W Wireless-N多功能VPN路由器和Cisco RV215W Wireless-N VPN路由器的基于web的管理界面中，该漏洞可能允许未经验证的远程攻击者执行任意代码或造成DoS情况。

该漏洞是由于对基于web的管理界面的来宾用户功能中用户提供的输入进行了不正确的边界限制而导致的。

要利用此漏洞，攻击者可以向目标设备发送恶意请求，从而触发缓冲区溢出情况。

该公司解释说：“成功利用此漏洞可使攻击者导致设备停止响应，从而导致拒绝服务情况，或使攻击者执行任意代码”。

此漏洞影响Cisco RV110W Wireless-N VPN防火墙、RV130W Wireless-N多功能VPN路由器和RV215W Wireless-N VPN路由器的所有版本。

Cisco已在针对Cisco RV130W Wireless-N多功能VPN路由器的固件版本1.0.3.44中解决了此漏洞，并且不会发布针对Cisco RV110W Wireless-N VPN防火墙和Cisco RV215W Wireless-N VPN路由器的固件更新。

据该公司的产品安全事件响应团队（PSIRT）称，Apache Struts正在被利用，而该团队不知道有任何利用其他两个关键缺陷的利用。