思科Cisco SD-WAN vManage软件爆发多个漏洞 影响大范围设备 赶紧升级修复

Cisco SD-WAN vManage Software是美国思科(Cisco)公司的一款用于SD-WAN(软件定义广域网络)解决方案的管理软件。不过根据7月安全漏洞调查显示，该管理软件爆出了多个高危漏洞。以下是漏洞详情：

1。拒绝服务漏洞CVE-2020-3372

该漏洞是由于内存管理效率低下造成的。攻击者可以通过向受影响的基于Web的管理界面发送大量精心设计的HTTP请求来利用此漏洞。成功利用该漏洞可能使攻击者耗尽系统内存，这可能导致系统停止处理新连接并可能导致DoS(拒绝服务)状态。

影响产品

此漏洞影响了Cisco SD-WAN vManage软件版本19.2.3之前版本以及20.1.12之前版本

修复漏洞

Cisco vManage Software版本19.2.3和更高版本以及版本20.1.12和更高版本包含此漏洞的修复程序。

2.SQL注入漏洞CVE-2020-3378

该漏洞是由于对用户提供的输入的验证不足所致。攻击者可以通过向受影响的系统发送包含SQL语句的精心设计的输入来利用此漏洞。成功利用该漏洞可能使攻击者修改某些数据库表中的条目，从而影响数据的完整性。

影响产品

此漏洞影响了Cisco SD-WAN vManage软件版本19.2.3之前版本以及18.4.5之前版本

修复漏洞

Cisco vManage Software版本18.4.5和更高版本以及版本19.2.3和更高版本包含此漏洞的修复程序。

3。路径遍历漏洞CVE-2020-3401

该漏洞是由于HTTP请求验证不足所致。攻击者可以通过向受影响的系统发送包含目录遍历字符序列的精心设计的HTTP请求来利用此漏洞。成功利用此漏洞可能使攻击者可以在受影响的系统上查看任意文件。

影响产品

此漏洞影响了Cisco SD-WAN vManage软件版本19.2.2及更早版本

修复漏洞

Cisco SD-WAN vManage软件版本19.2.3包含针对此漏洞的修复程序。

4。跨站脚本漏洞CVE-2020-3406

存在此漏洞是因为基于Web的管理界面无法正确验证用户提供的输入。攻击者可以说服用户单击精心设计的链接来利用此漏洞。成功的利用可能使攻击者可以在界面的上下文中执行任意脚本代码，或访问敏感的基于浏览器的信息。

影响产品

此漏洞影响了Cisco SD-WAN vManage软件版本19.2.2及更早版本

修复漏洞

Cisco SD-WAN vManage软件版本19.2.3包含针对此漏洞的修复程序。

5。后置链接漏洞CVE-2020-3437

Cisco SD-WAN vManage Software 19.2.3之前版本中的Web管理界面存在后置链接漏洞，该漏洞源于程序未能充分限制文件范围。远程攻击者可利用该漏洞读取设备文件系统上的任意文件。

影响产品

此漏洞影响了Cisco SD-WAN vManage软件版本19.2.2及更早版本

修复漏洞

Cisco SD-WAN vManage软件版本19.2.3及更高版本可修复此漏洞。

6.XML注入漏洞CNVD-2020-41237/CVE-2020-3405

Cisco SD-WAN vManage Software 19.2.2及之前版本中的Web UI存在XML外部实体注入漏洞，该漏洞源于程序未能正确解析XML外部实体条目，远程攻击者可借助特制XML文件利用该漏洞在受影响的应用程序中读写文件。

影响产品

此漏洞影响了Cisco SD-WAN vManage软件版本19.2.2及更早版本

修复漏洞

Cisco SD-WAN vManage软件版本19.2.3及更高版本可修复此漏洞。