许多Cisco路由器中发现了一个高危漏洞(在新标签页中打开)这允许威胁参与者绕过身份验证，获得对端点的根访问权限，甚至在攻击的第二阶段在底层操作系统上启动任意命令。

该消息来自思科本身，该公司表示不会解决该缺陷，因为它是在已达到使用寿命的端点中发现的。该缺陷被追踪为CVE-2023-20025，影响思科小型企业RV016、RV042、RV042G和RV082路由器。通过向易受攻击路由器的基于Web的管理界面发送定制的HTTP请求，攻击者可以绕过设备的身份验证并远程利用它。

然后，攻击者将能够利用第二个漏洞(也是新披露的CVE-2023-2002)在设备的操作系统上执行任意命令。

这些错误被评为“严重”，但思科不会解决它，主要是因为公司不再支持有问题的设备。不过，BleepingComputer发现，RV042和RV042G路由器的销售截止日期为2020年1月30日，并将享受该公司的支持至2025年1月31日。

该漏洞没有解决方法，但管理员可以禁用路由器的基于Web的管理界面，或阻止对端口443和60443的访问，这将有助于阻止潜在的攻击。

这不是思科第一次决定不修复关键身份验证绕过漏洞。BleepingComputer提醒说，在9月，一个类似的缺陷被发现困扰着RV110W、RV130、RV130W和RV2015WEoL。当时，思科建议客户转向RV132W、RV160和RV160W。

6月，发现了一个严重的远程代码执行(RCE)漏洞(跟踪为CVE-2022-20825)，但未进行检查。

路由器是数据传输中的重要组成部分，因此是网络犯罪分子的主要目标。因此，网络安全研究人员和原始设备制造商定期发现并修补高严重性漏洞的情况并不少见。然而，未修补的漏洞可能会对网络造成严重破坏，因为威胁行为者不必自己发现新的漏洞——他们只需利用已经是常识的知识即可。