Cisco hat Patches für mehrere kritische Schwachstellen in der webbasierten Verwaltungsoberfläche von Small Business Router veröffentlicht. Die Schwachstellen erlauben es nicht authentifizierten Angreifern, beliebigen Code als Root-User auf einem betroffenen Gerät auszuführen.

Laut der Warnmeldung von Cisco müssten Angreifer dafür lediglich präparierte HTTP-Anfragen an das Web-Management-Interface schicken. Betroffene Geräte sind die VPN-Router RV160, RV160W, RV260, RV260P, und RV260W, die mit einer Firmware-Version vor Release 1.0.01.02 arbeiten. Ab Release 1.0.01.02 hat Cisco die Schwachstellen gepatcht. Updates können über das Cisco Software Center heruntergeladen werden.

Das Unternehmen gab noch weitere Schwachstellen in Small Business Router bekannt. Diese erlauben es, Geräte via DoS-Attacke neu starten lassen. Lücken im Betriebssystem IOS XR gefährden unter anderem Router der 8000 Series. Im User Interface von Webex Meetings wird ebenfalls eine Schwachstelle gemeldet: Hier können Angreifer einen Hyperlink in Einladungsmails unterbringen. Auch bei diesen Lücken ruft Cisco dringend zum Patch auf.