RV320/RV325:Cisco Small Business ルータのコマンドインジェクションに対する脆弱性
不具合参照ID
CSCvm78058
指定日
2018年10月5日
解決日
2019年1月22日
影響を受ける製品
| モデル | ファームウェア バージョン | 下記で修正 |
| RV320 | 1.4.2.15 | 1.4.2.20 |
| RV325 | 1.4.2.15 | 1.4.2.20 |
問題の説明
Cisco Small Business RV320およびRV325デュアルギガビットWAN VPNルータのWebベース管理インターフェイスの脆弱性により、該当デバイスの管理者権限を持つ認証されたリモート攻撃者が任意のコマンドを実行する可能性があります。
この脆弱性は、ユーザ入力の検証が不適切なことに起因します。攻撃者は影響を受けるデバイスの Web ベースの管理インターフェイスに悪意のある HTTP POST 要求を送信することで、この脆弱性をエクスプロイトすることができます。エクスプロイトに成功すると、攻撃者はルートとして基盤となる Linux シェルで任意のコマンドを実行できます。
解決方法
シスコは、RV320およびRV325デュアルギガビットWAN VPNルータのファームウェアリリース1.4.2.20以降でこの脆弱性を修正しました。
お客様は製品ページからファームウェアをダウンロードできます。 RV320 と RV325 または Software Center Cisco.com次の手順では、製品ページを使用してファームウェアバージョン1.4.2.20をダウンロードする方法を示します。
注: この例では、Cisco RV325デュアルギガビットWAN VPNルータ製品ページを使用します。
ステップ2:ページを下にスクロールします。リンクをクリックすると、自動的に[ダウンロード]タブに移動します。リンクをクリックしても[ダウンロード]タブに移動できない場合は、[ドキュメントとコミュニティ]タブの横にある[ダウンロード]タブを押します。
ステップ3:ファームウェアバージョン1.4.2.20の横にあるDownloadsボタンをクリックします。ファームウェアバージョン1.4.2.20が自動的にダウンロードを開始するはずです。
注: 「このファイルをダウンロードすることにより、お客様は本ファイルの内容を読み、利用規約に拘束されることに同意したことになります。 シスコエンドユーザライセンス契約.”
ステップ4:ファームウェアがコンピュータのDownloadsフォルダにダウンロードされます。
ステップ5:RV320およびRV325デュアルギガビットWAN VPNルータのファームウェアバージョンをアップグレードする方法については、リンクをクリックして記事を参照してください。 RV320およびRV325 VPNルータシリーズのファームウェア管理.
エスカレーションを処理するには、 here を参照してください。
フィードバック