尽管经常打补丁，但几个月前首次发现的小型企业路由器中的两个关键漏洞仍未得到足够的修复。该公司承认，思科RV320和RV325双千兆广域网虚拟专用网路由器中的一对关键错误已被发布进行初步修复，但发现这些错误不完整。这些失败的补丁是作为昨天发布的补丁浪潮的一部分尝试的，主要是为了填补公司IOS和IOS XE软件的空白。

共修复了25个问题，其中6个被评为“中等”，19个被视为高风险。在这一轮补丁中，有几个命令可以注入漏洞补丁和权限提升漏洞。对于这两个漏洞，这家互联网巨头表示：“这个漏洞的初步修复被发现是不完整的。“思科目前正在进行全面修复。”

这两个漏洞在今年1月23日第一次被标记出来，但是到目前为止还没有找到成功的修复或者解决方案。两天后，该公司详细说明了这些漏洞的性质。

第一个名为CVE-2019-1652，涉及远程代码执行漏洞。如果被利用，它可能允许具有管理员权限的远程攻击者在受影响的路由器之一上执行任意命令。其次，CVE-2019-1653可能允许攻击者检索敏感信息，如路由器配置或详细的诊断信息。

信息泄露的缺陷是由于对URL的访问控制不当，攻击者可以通过HTTP或HTTPS连接到受影响的设备并请求特定的URL。同时，通过向路由器的基于Web的管理界面发送恶意HTTP POST请求，可以利用远程代码执行的漏洞。

网络安全专家Graham Cluley告诉it专业人士，这两个漏洞尚未修复，这对小企业来说是一个令人不安的消息。

“在这两种情况下，思科都认为自己已经在1月份修复了漏洞——但现在发现自己没有做到这一点。

“对于可能使用这些设备的小企业来说，坏消息是思科目前没有可用的补丁，甚至无法提出解决方案。因此，网络犯罪分子有可能试图利用思科的漏洞。

“我们希望思科能够尽快推出有效的固件更新。”

思科表示，其目标是通过更新固件版本来修复运行固件版本为1.4.2.15及更高版本的路由器中的漏洞。预计将于2019年4月中旬发布。

版权说明： 本文版权归原作者所有，转载文章仅为传播更多信息之目的，如作者信息标记有误，请第一时间联系我们修改或删除，多谢。

标签：