思科在本周修補了存在於SD-WAN vManage軟件的3個(gè)安全漏洞，當中的CVE-2021-1479存在於該軟件的遠端管理元件，成功的開(kāi)采將允許未經(jīng)授權的黑客，以根權限自遠端執行任意程式。

　　SD-WAN為一基於軟件定義的廣域網(wǎng)絡(luò )（WAN）管理產(chǎn)品，主要針對軟件即服務(wù)（SaaS）及公有云應用所設計，而vManage則是用來(lái)監控SD-WAN健康狀態(tài)的軟件產(chǎn)品。此次思科修補了SD-WAN vManage中的CVE-2021-1137、CVE-2021-1479與CVE-2021-1480共3個(gè)安全漏洞。

　　其中，最嚴重的漏洞為CVE-2021-1479，它存在於SD-WAN vManage 的遠端管理元件中，是因無(wú)法適當驗證使用者的輸入而造成的，黑客只要傳送一個(gè)特制的連結請求至該元件，就能導致緩沖區溢位，成功的攻擊將讓未經(jīng)授權的黑客以根權限執行任意程式。

　　CVE-2021-1479漏洞的CVSS風(fēng)險評分高達9.8，它是由思科內部的安全稽核自行發(fā)現，尚未察覺(jué)相關(guān)的攻擊行動(dòng)。

　　CVE-2021-1137則為權限擴張漏洞，存在於SD-WAN vManage軟件的使用者管理功能中，只要具備新增用戶(hù)權限的本地端授權用戶(hù)，就能開(kāi)采該漏洞，并取得根權限。CVE-2021-1480亦為一權限擴張漏洞，但它位于系統檔案傳輸功能中，一個(gè)本地端授權用戶(hù)可藉由傳遞特制請求來(lái)開(kāi)采該漏洞，進(jìn)而覆蓋任意檔案以變更系統，最終取得根權限。

　　相關(guān)漏洞皆無(wú)暫時(shí)補救措施，思科呼吁SD-WAN vManage用戶(hù)應盡速更新。