思科发布其产品中32种漏洞的安全补丁更新

思科今天发布了30项安全补丁咨询，以解决其产品中总共32个安全漏洞，其中三个被评为严重级别，包括最近披露的Apache Struts远程代码执行漏洞，该漏洞正在被利用。 在其余29个漏洞中，有14个被评为高等级别，15个中等严重，解决了Cisco Routers，Cisco Webex，Cisco Umbrella，思科SD-WAN解决方案，思科云服务平台，思科数据中心网络等产品的安全漏洞。 思科解决了三个关键安全漏洞，解决了Apache Struts，Cisco Umbrella API和Cisco RV110W，RV130W和RV215W路由器的管理界面问题。

Apache Struts远程执行代码漏洞（CVE-2018-11776）

Semmle安全研究员Man Yue Mo上个月末发布的这个漏洞存在于Apache Struts的核心，由于在某些配置下Struts框架核心中用户提供的不受信任的输入验证不足而导致漏洞。

“该漏洞的存在是因为受影响的软件不能充分验证用户提供的输入，允许使用没有名称空间值的结果以及使用没有价值或行动的网址标签，”思科在其公告中解释道。

“如果上层操作或配置也没有命名空间或通配符命名空间，则攻击者可以通过发送向受影响的应用程序提交恶意输入以进行处理的请求来利用此漏洞。”

未经身份验证的远程攻击者可以通过欺骗受害者访问受影响的Web服务器上的特制URL来触发此漏洞，从而允许攻击者执行恶意代码并最终完全控制运行易受攻击的应用程序的目标服务器。 所有使用Apache Struts支持的版本（Struts 2.3到Struts 2.3.34，Struts 2.5到Struts 2.5.16）以及一些不受支持的Apache Struts版本的应用程序都可能容易受到此漏洞的攻击，即使没有启用其他插件也是如此。 Apache Struts上个月发布了Struts版本2.3.35和2.5.17，修补了漏洞。现在，思科还发布了修复程序，以解决其产品中的问题。您可以查看易受攻击的思科产品列表，在这里。 由于此问题没有解决方法，因此强烈建议组织和开发人员尽快更新其Struts组件。

Cisco Umbrella API未经授权的访问漏洞（CVE-2018-0435）

思科修补的第二个关键漏洞存在于Cisco Umbrella API中，该API可能允许经过身份验证的远程攻击者查看和修改其组织以及其他组织的数据。 Cisco Umbrella是一个云安全平台，通过在建立连接或下载文件之前阻止对恶意域，URL，IP和文件的访问，提供抵御所有端口和协议威胁的第一道防线。 该漏洞由于Cisco Umbrella的API接口的身份验证配置不足而存在，并且成功利用可能允许攻击者跨多个组织读取或修改数据。 思科修补了Cisco Umbrella生产API中解决此漏洞的漏洞。无需用户操作。

Cisco路由器管理接口缓冲区溢出漏洞（CVE-2018-0423）

最后但并非最不重要的关键漏洞存在于Cisco RV110W Wireless-N VPN防火墙，Cisco RV130W Wireless-N多功能VPN路由器和Cisco RV215W Wireless-N VPN路由器的基于Web的管理界面中，可能允许未经身份验证，远程攻击者执行任意代码或导致DoS条件。 由于基于Web的管理界面的Guest用户功能中对用户提供的输入的边界限制不当，导致该缺陷。 要利用此漏洞，攻击者可以向目标设备发送恶意请求，从而触发缓冲区溢出情况。

“一次成功的攻击可能会让攻击者停止响应，导致拒绝服务，或者可能让攻击者执行任意代码，”该公司解释说。

此漏洞影响所有版本的Cisco RV110W Wireless-N VPN防火墙，RV130W Wireless-N多功能VPN路由器和RV215W Wireless-N VPN路由器。 思科已针对Cisco RV130W Wireless-N多功能VPN路由器解决了固件版本1.0.3.44中的此漏洞，并且不会发布Cisco RV110W Wireless-N VPN防火墙和Cisco RV215W Wireless-N VPN路由器的固件更新。 据该公司的产品安全事件响应小组（PSIRT）称，Apache Struts正在被开发中使用，而团队并未意识到任何利用其他两个关键缺陷的漏洞。