Cisco Small Business routerek tetszőleges parancs-végrehajtási sérülékenysége
Angol cím: Cisco Small Business Series Routers Arbitrary Command Execution Vulnerability
CH azonosító: CH-14729
Publikálás dátuma: 2019.11.07.
Utolsó módosítás dátuma: 2019.11.07.
Leírás
A CVE-2019-15271 számon néhány Cisco Small Business RV router webes alapú kezelőfelületének magas kockázati besorolású sérülékenysége vált ismertté, amelyen keresztül egy autentikált távoli felhasználó rendszergazdai jogosultságokkal hajthat végre utasításokat a rendszeren. A támadónak érvényes hitelesítő adatokkal, vagy aktív munkamenet-tokennel kell rendelkeznie.
Leírás forrása: Gyártói referencia: tools.cisco.com Leírás utolsó módosítása: 2019.11.07.Elemzés leírás
A Cisco Small Business RV sorozatú routerek a kisvállalati szektor részére kínálnak egyedi megoldásokat a távoli munkavégzéshez VPN kapcsolat biztosításával.
A sérülékenység a nem megfelelő HTTP bemeneti adatkezelésből fakad, a sérülékenység kihasználásához a támadónak rosszindulatú HTTP-kérést kell küldenie a célkeresztben lévő eszköz webUI felületére. Sikeres kihasználás esetén a támadó rendszergazdai jogosultsággal hajthat végre utasításokat az érintett eszközön.
Érintett típusok:
- RV016 Multi-WAN VPN Router (firmware: 4.2.3.10 vagy korábbi)
- RV042 Dual WAN VPN Router (firmware: 4.2.3.10 vagy korábbi)
- RV042G Dual Gigabit WAN VPN Router (firmware: 4.2.3.10 vagy korábbi)
- RV082 Dual WAN VPN Router (firmware: 4.2.3.10 vagy korábbi)
A gyártó honlapján közzétette a hibák javításait tartalmazó frissítéseket.
Elemzés leírás forrása: Gyártói referencia: tools.cisco.com Elemzés leírás utolsó módosítása: 2019.11.07.Hatás
CVSS3 Súlyosság és Metrika
Alap pontszám: 8,8 (Magas)
Vektor: N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H/E
Hatás pontszáma:
Kihasználhatóság pontszáma:
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Alacsony
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C):
Sértetlenség Hatása (I):
Rendelkezésre állás Hatása (A):
