11月6日思科发布资安公告，指出旗下工业级无线路由器Ultra-Reliable Wireless Backhaul（URWB）搭配的软件系统当中，网页管理界面存在重大层级漏洞CVE-2024-20418，攻击者可在未经授权的情况下，远程使用root权限，在操作系统底层运行命令注入攻击，CVSS风险达到10分（满分10分）。

这项漏洞影响运行URWB作业模式的部分机种，包含：Catalyst IW9165D Heavy Duty Access Points、Catalyst IW9165E Rugged Access Points and Wireless Clients，以及Catalyst IW9167E Heavy Duty Access Points。

对此，该公司已发布软件更新，并强调这项漏洞没有其他缓解措施能够因应，呼吁IT人员应尽速采取行动。截至目前为止，该公司尚未察觉此漏洞遭到恶意利用的情况。

针对这项漏洞发生的原因，思科指出，是URWB网页管理界面对于用户输入的内容，缺乏适当的验证。攻击者若要利用这项漏洞，可向网页管理界面发送伪造的HTTP请求触发，一旦成功用漏洞，攻击者就能使用root权限，于操作系统底层运行任意命令。

攻击者若要利用这项弱点，须满足1个先决条件，那就是目标路由器必须激活URWB模式。该公司也提供IT人员确认此功能是否激活的方法，来判断路由器是否曝险。