思科在其SD-WAN解决方案中披露了一个关键漏洞，该漏洞允许以root用户身份执行任意代码。

不正确的边界所允许的潜在攻击者验证恶意文件发送到受影响的实例vContainer，这可能会导致在vContainer缓冲区溢出，并为执行任意代码为根的情况检查，该公司在其表示咨询。

该公司称，在18.4.0之前运行SD-WAN解决方案的思科vSmart控制器受到了冲击，只有vContainers受到影响。

“固定软件必须由思科根据客户的要求进行部署。思科客户没有固定的软件可以下载和部署此漏洞，”该公司表示。

“客户必须聘请他们的思科支持联系人，以确保部署最新的软件修复程序。”

该公司表示，它不知道有任何漏洞，并且在内部测试期间发现了漏洞。

通过内部测试还发现另一个SD-WAN错误，允许经过身份验证的相邻攻击者绕过身份验证并访问其他vSmart容器。

“该漏洞是由于受影响系统的默认配置不安全，” 思科咨询公司表示。

“攻击者可以通过直接连接到公开的服务来利用此漏洞。攻击可能允许攻击者检索和修改关键系统文件。”

思科的内部测试还发现了一个用户组配置错误，该错误会使攻击者获得权限升级，从而允许他们成为root用户并控制一个盒子。

该漏洞是由于无法正确验证组配置中包含的某些参数，“该公告称。

“攻击者可以通过将精心设计的文件写入基础操作系统中用户组配置所在的目录来利用此漏洞。”

在这种情况下，受影响的产品包括：vBond Orchestrator; vEdge 100,1000,2000,5000系列路由器; vEdge云路由器平台; vManage网络管理软件; 和vSmart控制器。

由于对命令行上使用的save命令的验证不正确，同一类硬件也受到任意文件覆盖漏洞的影响。

“一次成功的攻击可能允许攻击者覆盖受影响设备底层操作系统上的任意文件，并将其权限升级为root用户，”思科表示。

思科表示，SD-WAN解决方案版本18.4.0中修复了这两个问题。

在Webex方面，趋势科技的Zero Day Initiative发现了一个漏洞，允许在Webex Teams客户端内执行任意命令。

“这个漏洞是由于Windows操作系统中定义的应用程序URI所使用的不安全搜索路径造成的，”思科在其公告中表示。

“攻击者可以通过说服目标用户关注恶意链接来利用此漏洞。成功利用可能会导致应用程序从URI链接所针对的目录中加载库。”

此漏洞的结果是攻击者可以使用与目标用户相同的权限运行命令。

该漏洞影响了11月发布的版本3.0.10260之前的所有Cisco Webex团队版本。

将Windows版本的Webex的许多漏洞放入一个咨询中，思科透露，攻击者可以使用恶意录制(ARF / WRF)文件在用户打开代码后执行代码。

该网络巨头表示已经发布了受影响的Webex播放器和Webex网络录制播放器的固定版本。

Zero Day计划和Fortinet的研究人员发现了这种情况下的漏洞。

思科小型企业RV320和RV325路由器的Web管理界面中存在一系列漏洞，这些漏洞可能会导致远程攻击者因访问控制不当而从设备中检索文件，以及攻击者获得管理权限以root身份执行命令。

在2018年期间，思科删除了七个硬编码帐户凭据，这些凭据从其产品中获得了root或默认用户权限。

本月早些时候，思科警告称其电子邮件安全设备中使用的AsyncOS 容易受到永久拒绝服务，因为其软件未正确验证S / MIME签名的电子邮件。