Vier kwesbaarhede is geïdentifiseer in die Cisco Small Business Series-skakelaars wat 'n afgeleë aanvaller sonder verifikasie toelaat om volle toegang tot die toestel met wortelregte te verkry. Om probleme te ontgin, moet 'n aanvaller versoeke kan stuur na die netwerkpoort wat die webkoppelvlak verskaf. Probleme word 'n kritieke vlak van gevaar toegeken (4 uit 9.8). 'n Werkende ontginningsprototipe word gerapporteer.
Die geïdentifiseerde kwesbaarhede (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, CVE-2023-20189) word veroorsaak deur geheuehanteringsfoute in verskeie hanteerders wat in die voorafverifikasiestadium beskikbaar is. Kwesbaarhede lei tot bufferoorloop wanneer spesiaal geformateerde eksterne data verwerk word. Daarbenewens is vier minder ernstige kwesbaarhede (CVE-2023-20024, CVE-2023-20156, CVE-2023-20157, CVE-2023-20158) in die Cisco Small Business-reeks geïdentifiseer wat 'n ontkenning van diens op afstand moontlik maak. , en een kwesbaarheid (CVE-2023-20162) wat jou toelaat om toestelkonfigurasie-inligting te kry sonder verifikasie.
Die kwesbaarhede raak die Smart Switch 250-, 350-, 350X-, 550X-, Business 250- en Business 350-reekse, sowel as die Small Business 200-, 300- en 500-reekse. Die 220- en Business 220-reeksskakelaars word nie geraak nie. Kwessies word opgelos in fermware-opdaterings 2.5.9.16 en 3.3.0.16. Vir die Small Business 200-, 300- en 500-reekse sal fermware-opdaterings nie gegenereer word nie, aangesien die lewensiklus van hierdie modelle reeds voltooi is.
Bron: opennet.ru