思科在本周修补了存在於SD-WAN vManage软件的3个安全漏洞，当中的CVE-2021-1479存在於该软件的远端管理元件，成功的开采将允许未经授权的黑客，以根权限自远端执行任意程式。

　　SD-WAN为一基於软件定义的广域网络（WAN）管理产品，主要针对软件即服务（SaaS）及公有云应用所设计，而vManage则是用来监控SD-WAN健康状态的软件产品。此次思科修补了SD-WAN vManage中的CVE-2021-1137、CVE-2021-1479与CVE-2021-1480共3个安全漏洞。

　　其中，最严重的漏洞为CVE-2021-1479，它存在於SD-WAN vManage 的远端管理元件中，是因无法适当验证使用者的输入而造成的，黑客只要传送一个特制的连结请求至该元件，就能导致缓冲区溢位，成功的攻击将让未经授权的黑客以根权限执行任意程式。

　　CVE-2021-1479漏洞的CVSS风险评分高达9.8，它是由思科内部的安全稽核自行发现，尚未察觉相关的攻击行动。

　　CVE-2021-1137则为权限扩张漏洞，存在於SD-WAN vManage软件的使用者管理功能中，只要具备新增用户权限的本地端授权用户，就能开采该漏洞，并取得根权限。CVE-2021-1480亦为一权限扩张漏洞，但它位于系统档案传输功能中，一个本地端授权用户可藉由传递特制请求来开采该漏洞，进而覆盖任意档案以变更系统，最终取得根权限。

　　相关漏洞皆无暂时补救措施，思科呼吁SD-WAN vManage用户应尽速更新。