思科在一份重要的安全公告中披露了用于思科超可靠无线回程(URWB)接入点的统一工业无线软件中的命令注入漏洞。该漏洞被识别为 CVE-2024-20418,通用漏洞评分系统 (CVSS) 的最高评分为 10.0,突出显示了该漏洞对受影响系统的潜在影响。CVE-2024-20418 是思科 URWB 软件基于 Web 的管理界面中的一个漏洞,它允许未经认证的远程攻击者以根权限注入和执行任意命令。据思科公司称,这一严重漏洞源于 “对基于网络的管理界面的输入验证不当”。通过发送特制的 HTTP 请求,潜在攻击者可以获得未经授权的 root 访问权限,从而完全控制设备的操作系统。如果特定的 Cisco Catalyst Access Points 在启用 URWB 操作模式的情况下运行易受攻击的版本,则会受此漏洞影响。受影响的设备包括Catalyst IW9165D 重型接入点Catalyst IW9165E 强固型接入点和无线客户端Catalyst IW9167E 重型接入点不在 URWB 模式下运行的设备不会受到此漏洞的影响。Cisco 建议管理员使用 show mpls-config CLI 命令检查是否启用了 URWB 模式。如果该命令可用,则确认设备处于 URWB 模式,并可能存在漏洞。思科产品安全事故响应小组(PSIRT)尚未收到任何主动利用报告。该公告称:“思科 PSIRT 没有发现任何公开声明或恶意使用本公告所述漏洞的情况。不过,鉴于该漏洞的严重性,我们敦促企业优先打补丁。”目前还没有解决该漏洞的变通方法,因此必须立即采取行动。思科已经发布了软件更新,建议17.14版及更早版本的用户迁移到修复版本。对于运行 17.15 版的用户,建议升级到 17.15.1 版以缓解该漏洞。
