CH azonosító
CH-6453Angol cím
Cisco Small Business SRP520 / SRP540 Series Multiple VulnerabilitiesFelfedezés dátuma
2012.02.23.Súlyosság
KözepesÖsszefoglaló
A Cisco Small Business SRP520 / SRP540 sorozat sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú felhasználók feltörhetik a sérülékeny rendszert, a támadók pedig megkerülhetnek bizonyos biztonsági szabályokat.
Leírás
- Egy a web interfészben, bizonyos HTTP kérések feldolgozásakor jelentkező hiba kihasználható tetszőleges parancsok befecskendezésére és futtatására.
- Bizonyos web kérések feldolgozása közben jelentkező, hiányzó hitelesítésből fakadó hiba kihasználható egy konfigurációs fájl feltöltésére.
- A lokális TFTP alkalmazásban, fájl feltöltés kezelésekor jelentkező hiba kihasználható tetszőleges könytárba történő fájlfeltöltésre a könyvtárbejárás (directory traversal) módszerével.
A sérülékenységeket a következő termékverzióknál jelentették:
- Cisco Small Business SRP521W, SRP526W és SRP527W, melyek 1.1.26-nál korábbi firmware verziót futtatnak
- Cisco Small Business SRP521W-U, SRP526W-U és SRP527W-U, melyek 1.2.4-nél korábbi firmware verziót futtatnak
- Cisco Small Business SRP541W, SRP546W és SRP547W, melyek 1.2.4-nél korábbi firmware verziót futtatnak
Megoldás
Frissítsen az 1.1.26 vagy 1.2.4 verzióra.
Támadás típusa
Security bypass (Biztonsági szabályok megkerülése)Hatás
Loss of integrity (Sértetlenség elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: tools.cisco.com
CVE-2012-0363 - NVD CVE-2012-0363
CVE-2012-0364 - NVD CVE-2012-0364
CVE-2012-0365 - NVD CVE-2012-0365
SECUNIA 48129