Cisco Small Business 220 Series Smart Switch sérülékenységek

CH azonosító: CH-14679 Cím: Cisco Small Business 220 Series Smart Switch sérülékenységek Angol cím: Cisco Small Business 220 Series Smart Switch vulnerabilities

Publikálás dátuma: 2019.08.07. Utolsó módosítás dátuma: 2019.08.07.


Leírás

A Cisco Small Business 220 Series Smart Switch sérülékenységei váltak ismertté, amelyek kihasználásával a támadó átveheti az irányítást az érintett eszköz felett.

Leírás forrása: Gyártói referencia:

Leírás utolsó módosítása: 2019.08.08.


Elemzés leírás

A Cisco Small Business 220 Series Smart Switch három sérülékenysége vált ismerté, amelyek segítségével lehetőség nyílik a hitelesítés megkerülésére, távoli kód végrehajtásra és parancs injektálására.

A hitelesítést megkerülő módszer segítségével a webes felület hiányosságai révén a támadónak lehetősége nyílik arra, hogy egy rosszindulatú kérés küldésével módosíthassa az eszköz konfigurációját. Távoli kód futtatása puffer túlcsordulás hiba előidézésével lehetséges, parancs befecskendezéses támadás kivitelezése pedig egy rosszindulatú kérést elküldésével, amelyhez a támadónak egy érvényes munkamenetre van szüksége. Mindezzel lehetőség nyílik tetszőleges parancsok végrehajtására root jogosultsággal.

Érintett verziók: 1.1.4.4 előtti verziók.

Megoldás: A Cisco az 1.1.4.4-es verziótól kezdődően javította a hibát.

Elemzés leírás forrása: Gyártói referencia:

Elemzés leírás utolsó módosítása: 2019.08.08.


Hatás

CVSS3 Severity and Metrics

Base score: 9.8 (Kritikus)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 3.9


Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

CVSS2 Severity and Metrics

Base score: 10.0 (Kritikus)
Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C
Impact Subscore: 10.0
Exploitability Subscore: 10.0


Access Vector (AV): Network
Access Complexity (AC): Low
Confidentiality Impact (C): Complete
Integrity Impact (S): Complete
Availability Impact (A): Complete


Hivatkozások

CVE-2019-1912 - NVD CVE-2019-1912
CVE-2019-1913 - NVD CVE-2019-1913
CVE-2019-1914 - NVD CVE-2019-1914
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Egyéb referencia: www.zdnet.com