云安全日报211021：思科网络管理软件发现命令注入漏洞,需要尽快升级

Cisco IOS XE SD-WAN Software是思科（Cisco）公司的一款应用于Cisco IOS XE网络操作系统的用于网络管理（软件定义网络）的软件。10月20日,思科公司发布了安全更新，修复了Cisco IOS XE网络管理软件中发现命令注入漏洞。以下是漏洞详情：

漏洞详情

来源：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sd-wan-rhpbE34A

CVE-2021-1529 CVSS评分: 7.8 严重程度: 高

Cisco IOS XE SD-WAN 软件的 CLI 中存在一个漏洞，该漏洞可能允许经过身份验证的本地攻击者以root权限执行任意命令。

该漏洞是由于系统 CLI 的输入验证不足。攻击者可以通过对受影响的设备进行身份验证并将精心设计的输入提交到系统 CLI 来利用此漏洞。成功的利用可能允许攻击者以root权限在底层操作系统上执行命令。

受影响产品

如果以下 Cisco 产品在控制器模式下运行易受攻击的通用 Cisco IOS XE 软件版本或独立 Cisco IOS XE SD-WAN 软件的易受攻击版本，则此漏洞会影响这些产品：

1000 系列集成多业务路由器 (ISR)

4000 系列 ISR

ASR 1000 系列聚合服务路由器

Catalyst 8000 系列边缘平台

云服务路由器 (CSR) 1000V 系列

解决方案

独立 IOS XE SD-WAN 软件

思科尚未发布也不会发布独立 Cisco IOS XE SD-WAN 软件的更新以解决本公告中描述的漏洞。建议客户升级到通用 Cisco IOS XE 软件版本。

通用 IOS XE 软件

Cisco IOS XE 通用版本:

17.2升级至17.2.3

17.3升级至17.3.4

17.4升级至17.4.2

17.5升级至17.5.1a

17.6升级至17.6.1

查看更多漏洞信息 以及升级请访问官网：

https://tools.cisco.com/security/center/publicationListing.x