11月6日思科發布資安公告，指出旗下工業級無線路由器Ultra-Reliable Wireless Backhaul（URWB）搭配的軟體系統當中，網頁管理介面存在重大層級漏洞CVE-2024-20418，攻擊者可在未經授權的情況下，遠端使用root權限，在作業系統底層執行命令注入攻擊，CVSS風險達到10分（滿分10分）。

這項漏洞影響執行URWB作業模式的部分機種，包含：Catalyst IW9165D Heavy Duty Access Points、Catalyst IW9165E Rugged Access Points and Wireless Clients，以及Catalyst IW9167E Heavy Duty Access Points。

對此，該公司已發布軟體更新，並強調這項漏洞沒有其他緩解措施能夠因應，呼籲IT人員應儘速採取行動。截至目前為止，該公司尚未察覺此漏洞遭到惡意利用的情況。

針對這項漏洞發生的原因，思科指出，是URWB網頁管理介面對於使用者輸入的內容，缺乏適當的驗證。攻擊者若要利用這項漏洞，可向網頁管理介面發送偽造的HTTP請求觸發，一旦成功用漏洞，攻擊者就能使用root權限，於作業系統底層執行任意命令。

攻擊者若要利用這項弱點，須滿足1個先決條件，那就是目標路由器必須啟用URWB模式。該公司也提供IT人員確認此功能是否啟用的方法，來判斷路由器是否曝險。