Cisco Small Business 220 Series Smart Switch sérülékenységek

CH azonosító: CH-14679
Cím: Cisco Small Business 220 Series Smart Switch sérülékenységek
Angol cím: Cisco Small Business 220 Series Smart Switch vulnerabilities

Publikálás dátuma: 2019.08.07.
Utolsó módosítás dátuma: 2019.08.07.


Leírás

A Cisco Small Business 220 Series Smart Switch sérülékenységei váltak ismertté, amelyek kihasználásával a támadó átveheti az irányítást az érintett eszköz felett.

Leírás forrása: Gyártói referencia:

Leírás utolsó módosítása: 2019.08.08.



Elemzés leírás

A Cisco Small Business 220 Series Smart Switch három sérülékenysége vált ismerté, amelyek segítségével lehetőség nyílik a hitelesítés megkerülésére, távoli kód végrehajtásra és parancs injektálására.

A hitelesítést megkerülő módszer segítségével a webes felület hiányosságai révén a támadónak lehetősége nyílik arra, hogy egy rosszindulatú kérés küldésével módosíthassa az eszköz konfigurációját. Távoli kód futtatása puffer túlcsordulás hiba előidézésével lehetséges, parancs befecskendezéses támadás kivitelezése pedig egy rosszindulatú kérést elküldésével, amelyhez a támadónak egy érvényes munkamenetre van szüksége. Mindezzel lehetőség nyílik tetszőleges parancsok végrehajtására root jogosultsággal.

Érintett verziók: 1.1.4.4 előtti verziók.

Megoldás: A Cisco az 1.1.4.4-es verziótól kezdődően javította a hibát.

Elemzés leírás forrása: Gyártói referencia:

Elemzés leírás utolsó módosítása: 2019.08.08.



Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 9.8 (Kritikus)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Hatás pontszáma: 5.9
Kihasználhatóság pontszáma: 3.9


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

CVSS2 Súlyosság és Metrika

Alap pontszám: 10.0 (Kritikus)
Vektor: AV:N/AC:L/Au:N/C:C/I:C/A:C
Hatás alpontszáma: 10.0
Kihasználhatóság alpontszáma: 10.0


Hozzáférés Vektora (AV): Hálózat
Hozzáférés Komplexitása (AC): Alacsony
Bizalmasság Hatása (C): Teljes
Sértetlenség Hatása (S): Teljes
Rendelkezésre állás Hatása (A): Teljes


Hivatkozások

CVE-2019-1912 - NVD CVE-2019-1912
CVE-2019-1913 - NVD CVE-2019-1913
CVE-2019-1914 - NVD CVE-2019-1914
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Gyártói referencia: tools.cisco.com
Egyéb referencia: www.zdnet.com