阿里云漏洞库

多款Cisco产品存在任意命令执行漏洞

CVE编号

CVE-2015-6396

利用情况

暂无

补丁情况

N/A

披露时间

2016-08-08

漏洞描述

Cisco RV110W RV130W和RV215W均为思科公司路由器产品。

Cisco RV110W Wireless-N VPN Firewall，RV130W Wireless-N Multifunction VPN Router和RV215W Wireless-N VPN路由器的CLI命令解析器中存在任意命令执行漏洞，允许经过身份验证的本地攻击者获取管理员身份注入和执行任意shell命令。

解决建议

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
https://www.auscert.org.au/render.html?it=37422

参考链接
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa...
http://www.securityfocus.com/bid/92269
http://www.securitytracker.com/id/1036528
https://www.exploit-db.com/exploits/45986/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	cisco	rv110w_wireless-n_vpn_firewall_firmware	*	-
	运行在以下环境
	系统	cisco	rv130w_wireless-n_multifunction_vpn_router_firmware	*	-
	运行在以下环境
	系统	cisco	rv215w_wireless-n_vpn_router_firmware	*	-
	运行在以下环境
	硬件	cisco	rv110w_wireless-n_vpn_firewall	-	-
	运行在以下环境
	硬件	cisco	rv130w_wireless-n_multifunction_vpn_router	-	-
	运行在以下环境
	硬件	cisco	rv215w_wireless-n_vpn_router	-	-

攻击路径

本地
攻击复杂度

低
权限要求

低
影响范围

未更改
用户交互

无
可用性

高
保密性

高
完整性

高

CWE-ID	漏洞类型
CWE-78	OS命令中使用的特殊元素转义处理不恰当（OS命令注入）

多款Cisco产品存在任意命令执行漏洞

漏洞描述

解决建议

参考链接

受影响软件情况