思科为RV220W无线网络安全防火墙产品发布了一个固件更新以解决允许远程攻击者获取管理员权限的严重漏洞。
该漏洞编号为CVE-2015-6319,是因对发送至设备管理界面HTTP请求头检测不充分而造成的一个管理验证绕过问题。远程未经验证的攻击者能够将包含恶意SQL语句的特殊编制HTTP请求发送至设备以绕过验证并通过管理权限访问。
这个漏洞影响运行1.0.7.2固件版本的思科RV220W无线网络安全防火墙设备。思科表示尚未发现任何被利用的迹象,不过已通知用户检查AAA日志查看是否存在可疑日志数据以确定设备是否已被攻陷。
漏洞仅可在远程管理功能开启的情况下才能被利用。没有更新固件的用户可以禁止该功能或者限制对该功能的访问权限。
思科还发布了更新解决WAAS设备中的一个高危DoS漏洞。该漏洞编号为CVE-2015-6421,存在于WAAS、vWAAS设备以及WAAS模块中的CIFS优化功能中。这个问题影响5.1.1d至5.5的WAAS版本。
远程未经验证的攻击者能够通过发送恶意CIFS流量以引发DoS攻击的方式利用这个漏洞。思科表示目前尚未发现被利用迹象。并未无法安装软件更新的用户提供了权变措施。