Cisco 發布多種產品的安全更新

Cisco 多個產品存在安全性弱點，遠端攻擊者可以利用這些弱點來控制受影響的系統！

• Cisco IOS 16.1.1 之前版本
• Cisco IOS XE 16.1.1 之前版本
• Cisco Webex Video Mesh 2019.09.19.1956m 之前版本

Cisco 已經發布了軟體更新，可更新軟體來解決此弱點

Cisco IOS 和 Cisco IOS XE 軟體 Web UI CSRF 弱點

• 該弱點是由於受影響的設備上的Web UI的CSRF保護不足所致。攻擊者可以說服界面用戶跟隨惡意鏈接，從而利用此弱點。使攻擊者可以目標用戶的特權級別執行任意操作。如果用戶具有管理特 權，則攻擊者可能會更改配置，執行命令或重新加載受影響的設備。 

Cisco Webex Video Mesh Command Injection 弱點

• 該弱點是由於受影響的軟體，基於Web的管理界面未正確驗證用戶的輸入而引起的。攻擊者可以通過使用管理特權登錄到基於Web的 管理界面並向應用程序提供請求。此弱點可使攻擊者可以在目標節點上以root用戶特權在底層Linux操作系統上執行任意命令。

US-CERT (2020/01/09)
cisco-sa-20200108-webex-video (2020/01/08)
cisco-sa-20200108-ios-csrf (2020/01/08)