Cisco Small Business SRP520 / SRP540 sorozat sérülékenységei

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Cisco Small Business SRP521W 1.x
Cisco Small Business SRP526W 1.x
Cisco Small Business SRP527W 1.x
Cisco Small Business SRP541W 1.x
Cisco Small Business SRP546W 1.x
Cisco Small Business SRP547W 1.x

Összefoglaló

A Cisco Small Business SRP520 / SRP540 sorozat sérülékenységei váltak ismertté, amelyeket kihasználva a rosszindulatú felhasználók feltörhetik a sérülékeny rendszert, a támadók pedig megkerülhetnek bizonyos biztonsági szabályokat.

Leírás

1. Egy a web interfészben, bizonyos HTTP kérések feldolgozásakor jelentkező hiba kihasználható tetszőleges parancsok befecskendezésére és futtatására.
2. Bizonyos web kérések feldolgozása közben jelentkező, hiányzó hitelesítésből fakadó hiba kihasználható egy konfigurációs fájl feltöltésére.
3. A lokális TFTP alkalmazásban, fájl feltöltés kezelésekor jelentkező hiba kihasználható tetszőleges könytárba történő fájlfeltöltésre a könyvtárbejárás (directory traversal) módszerével.

A sérülékenységeket a következő termékverzióknál jelentették:

• Cisco Small Business SRP521W, SRP526W és SRP527W, melyek 1.1.26-nál korábbi firmware verziót futtatnak
• Cisco Small Business SRP521W-U, SRP526W-U és SRP527W-U, melyek 1.2.4-nél korábbi firmware verziót futtatnak
• Cisco Small Business SRP541W, SRP546W és SRP547W, melyek 1.2.4-nél korábbi firmware verziót futtatnak

Megoldás

Frissítsen az 1.1.26 vagy 1.2.4 verzióra.

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Gyártói referencia: tools.cisco.com
CVE-2012-0363 - NVD CVE-2012-0363
CVE-2012-0364 - NVD CVE-2012-0364
CVE-2012-0365 - NVD CVE-2012-0365
SECUNIA 48129