Cisco Small Business RV routerek parancs-befecskendezéses sérülékenysége

CH azonosító: CH-14728
Cím: Cisco Small Business routerek parancs-befecskendezéses sérülékenysége
Angol cím: Cisco Small Business Series Routers Command Injection Vulnerability

Publikálás dátuma: 2019.11.07.
Utolsó módosítás dátuma: 2019.11.07.


Leírás

A CVE-2019-15957 számon néhány Cisco Small Business RV router webes alapú kezelőfelületének magas kockázati besorolású sérülékenysége vált ismertté, amelyen keresztül egy adminisztratív jogosultságokkal rendelkező, autentikált távoli felhasználó rendszergazdai jogosultságokkal utasításokat hajthat végre a rendszeren.


Leírás forrása: Gyártói referencia: tools.cisco.com
Leírás utolsó módosítása: 2019.11.07.


Elemzés leírás

A Cisco Small Business RV sorozatú routerek a kisvállalati szektor részére kínálnak egyedi megoldásokat a távoli munkavégzéshez VPN kapcsolat biztosításával.

A sérülékenység a nem megfelelő bemeneti adatkezelésből fakad, kihasználásához a jogosultsággal rendelkező, távoli támadónak az érintett eszköz webUI felületén kell módosított adatot bevinnie. Sikeres kihasználás esetén a támadó rendszergazdai jogosultságot szerezhet a kapcsolódó Linux operációs rendszeren.

Érintett eszközök:

  • RV016 Multi-WAN VPN Router (firmware: 4.2.3.10 vagy korábbi)
  • RV042 Dual WAN VPN Router (firmware: 4.2.3.10 vagy korábbi)
  • RV042G Dual Gigabit WAN VPN Router (firmware: 4.2.3.10 vagy korábbi)
  • RV082 Dual WAN VPN Router (firmware: 4.2.3.10 vagy korábbi)

A gyártó honlapján közzétette a hibák javításait tartalmazó frissítéseket.


Elemzés leírás forrása: Gyártói referencia: tools.cisco.com
Elemzés leírás utolsó módosítása: 2019.11.07.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 7,2 (Magas)
Vektor: N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E
Hatás pontszáma:
Kihasználhatóság pontszáma:


Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Magas
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

CVSS2 Súlyosság és Metrika

Alap pontszám: (Nincs)
Vektor:
Hatás alpontszáma:
Kihasználhatóság alpontszáma:




Hivatkozások

Gyártói referencia: tools.cisco.com
CVE-2019-15957 - NVD CVE-2019-15957