思科在一份重要的安全公告中披露了用于思科超可靠无线回程（URWB）接入点的统一工业无线软件中的命令注入漏洞。该漏洞被识别为 CVE-2024-20418，通用漏洞评分系统 (CVSS) 的最高评分为 10.0，突出显示了该漏洞对受影响系统的潜在影响。

CVE-2024-20418 是思科 URWB 软件基于 Web 的管理界面中的一个漏洞，它允许未经认证的远程攻击者以根权限注入和执行任意命令。据思科公司称，这一严重漏洞源于 “对基于网络的管理界面的输入验证不当”。通过发送特制的 HTTP 请求，潜在攻击者可以获得未经授权的 root 访问权限，从而完全控制设备的操作系统。

如果特定的 Cisco Catalyst Access Points 在启用 URWB 操作模式的情况下运行易受攻击的版本，则会受此漏洞影响。受影响的设备包括

• Catalyst IW9165D 重型接入点
• Catalyst IW9165E 强固型接入点和无线客户端
• Catalyst IW9167E 重型接入点

不在 URWB 模式下运行的设备不会受到此漏洞的影响。Cisco 建议管理员使用 show mpls-config CLI 命令检查是否启用了 URWB 模式。如果该命令可用，则确认设备处于 URWB 模式，并可能存在漏洞。

思科产品安全事故响应小组（PSIRT）尚未收到任何主动利用报告。该公告称：“思科 PSIRT 没有发现任何公开声明或恶意使用本公告所述漏洞的情况。不过，鉴于该漏洞的严重性，我们敦促企业优先打补丁。”

目前还没有解决该漏洞的变通方法，因此必须立即采取行动。思科已经发布了软件更新，建议17.14版及更早版本的用户迁移到修复版本。对于运行 17.15 版的用户，建议升级到 17.15.1 版以缓解该漏洞。