Cisco Small Business RV routerek tetszőleges parancs-végrehajtási sérülékenység

CH azonosító: CH-14729
Cím: Cisco Small Business routerek tetszőleges parancs-végrehajtási sérülékenysége
Angol cím: Cisco Small Business Series Routers Arbitrary Command Execution Vulnerability

Publikálás dátuma: 2019.11.07.
Utolsó módosítás dátuma: 2019.11.07.


Leírás

A CVE-2019-15271 számon néhány Cisco Small Business RV router webes alapú kezelőfelületének magas kockázati besorolású sérülékenysége vált ismertté, amelyen keresztül egy autentikált távoli felhasználó rendszergazdai jogosultságokkal hajthat végre utasításokat a rendszeren. A támadónak érvényes hitelesítő adatokkal, vagy aktív munkamenet-tokennel kell rendelkeznie.


Leírás forrása: Gyártói referencia: tools.cisco.com
Leírás utolsó módosítása: 2019.11.07.


Elemzés leírás

A Cisco Small Business RV sorozatú routerek a kisvállalati szektor részére kínálnak egyedi megoldásokat a távoli munkavégzéshez VPN kapcsolat biztosításával.

A sérülékenység a nem megfelelő HTTP bemeneti adatkezelésből fakad, a sérülékenység kihasználásához a támadónak rosszindulatú HTTP-kérést kell küldenie a célkeresztben lévő eszköz webUI felületére. Sikeres kihasználás esetén a támadó rendszergazdai jogosultsággal hajthat végre utasításokat az érintett eszközön.

Érintett típusok: 

  • RV016 Multi-WAN VPN Router (firmware: 4.2.3.10 vagy korábbi)
  • RV042 Dual WAN VPN Router (firmware: 4.2.3.10 vagy korábbi)
  • RV042G Dual Gigabit WAN VPN Router (firmware: 4.2.3.10 vagy korábbi)
  • RV082 Dual WAN VPN Router (firmware: 4.2.3.10 vagy korábbi)

A gyártó honlapján közzétette a hibák javításait tartalmazó frissítéseket.


Elemzés leírás forrása: Gyártói referencia: tools.cisco.com
Elemzés leírás utolsó módosítása: 2019.11.07.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 8,8 (Magas)
Vektor: N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E
Hatás pontszáma:
Kihasználhatóság pontszáma:


Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Alacsony
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas

CVSS2 Súlyosság és Metrika

Alap pontszám: (Nincs)
Vektor:
Hatás alpontszáma:
Kihasználhatóság alpontszáma:




Hivatkozások

Gyártói referencia: tools.cisco.com
CVE-2019-15271 - NVD CVE-2019-15271