Cisco Small Business routerek parancs-befecskendezéses sérülékenysége
Angol cím: Cisco Small Business Series Routers Command Injection Vulnerability
CH azonosító: CH-14728
Publikálás dátuma: 2019.11.07.
Utolsó módosítás dátuma: 2019.11.07.
Leírás
A CVE-2019-15957 számon néhány Cisco Small Business RV router webes alapú kezelőfelületének magas kockázati besorolású sérülékenysége vált ismertté, amelyen keresztül egy adminisztratív jogosultságokkal rendelkező, autentikált távoli felhasználó rendszergazdai jogosultságokkal utasításokat hajthat végre a rendszeren.
Leírás forrása: Gyártói referencia: tools.cisco.com Leírás utolsó módosítása: 2019.11.07.Elemzés leírás
A Cisco Small Business RV sorozatú routerek a kisvállalati szektor részére kínálnak egyedi megoldásokat a távoli munkavégzéshez VPN kapcsolat biztosításával.
A sérülékenység a nem megfelelő bemeneti adatkezelésből fakad, kihasználásához a jogosultsággal rendelkező, távoli támadónak az érintett eszköz webUI felületén kell módosított adatot bevinnie. Sikeres kihasználás esetén a támadó rendszergazdai jogosultságot szerezhet a kapcsolódó Linux operációs rendszeren.
Érintett eszközök:
- RV016 Multi-WAN VPN Router (firmware: 4.2.3.10 vagy korábbi)
- RV042 Dual WAN VPN Router (firmware: 4.2.3.10 vagy korábbi)
- RV042G Dual Gigabit WAN VPN Router (firmware: 4.2.3.10 vagy korábbi)
- RV082 Dual WAN VPN Router (firmware: 4.2.3.10 vagy korábbi)
A gyártó honlapján közzétette a hibák javításait tartalmazó frissítéseket.
Elemzés leírás forrása: Gyártói referencia: tools.cisco.com Elemzés leírás utolsó módosítása: 2019.11.07.Hatás
CVSS3 Súlyosság és Metrika
Alap pontszám: 7,2 (Magas)
Vektor: N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H/E
Hatás pontszáma:
Kihasználhatóság pontszáma:
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Magas
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas
