Cisco Small Business 83፣ Zyxel GS220-1900፣ NETGEAR GS24x፣ ALLNET ALL-SG75M እና ከደርዘን በላይ ከሚታወቁ አምራቾች የተውጣጡ መሳሪያዎችን ጨምሮ በ RTL8208xx ቺፕስ ላይ በተመሰረቱ መቀየሪያዎች ውስጥ። ያልተረጋገጠ አጥቂ መቀየሪያውን እንዲቆጣጠር የሚፈቅዱ ወሳኝ ተጋላጭነቶች። ችግሮቹ የተፈጠሩት በሪልቴክ የሚተዳደር ማብሪያ መቆጣጠሪያ ኤስዲኬ ውስጥ ባሉ ስህተቶች ነው፣ ይህም ኮድ ፈርምዌርን ለማዘጋጀት ጥቅም ላይ የዋለ ነው።
(CVE-2019-1913) በድር መቆጣጠሪያ በይነገጽ ላይ ተጽእኖ ያሳድራል እና ኮድዎን ከስር ተጠቃሚ መብቶች ጋር ለማስፈጸም ያስችላል። ተጋላጭነቱ በተጠቃሚው የሚቀርቡ መለኪያዎች በቂ አለመረጋገጥ እና የግቤት ውሂብን በሚያነቡበት ጊዜ የመጠባበቂያ ድንበሮችን በትክክል አለመገምገም ነው። በዚህ ምክንያት አንድ አጥቂ በልዩ ሁኔታ የተዘጋጀ ጥያቄ በመላክ እና ችግሩን ተጠቅሞ ኮዱን ለማስፈጸም ቋት እንዲትረፈረፍ ሊያደርግ ይችላል።
(CVE-2019-1912) የዘፈቀደ ፋይሎችን ያለማረጋገጫ ወደ ማብሪያው ላይ እንዲጫኑ ይፈቅዳል፣ ይህም የማዋቀሪያ ፋይሎችን እንደገና መፃፍ እና ለርቀት መግቢያ የተገላቢጦሽ ሼል ማስጀመርን ጨምሮ። ችግሩ የተከሰተው በድር በይነገጽ ውስጥ የፍቃዶችን ያልተሟላ ፍተሻ ነው።
አነስተኛ አደገኛዎችን ማስወገድም ይችላሉ (CVE-2019-1914)፣ ይህም የዘፈቀደ ትዕዛዞችን ከስር መብቶች ጋር እንዲፈፀሙ የሚፈቅደው ያልተፈቀደ የተረጋገጠ የድረ-ገጽ በይነገጽ ካለ። ጉዳዮች በ Cisco Small Business 220 (1.1.4.4)፣ Zyxel እና NETGEAR firmware ዝማኔዎች ተፈትተዋል። የአሠራር ዘዴዎች ዝርዝር መግለጫ የታቀደ ነው ኦገስት 20.
በ RTL83xx ቺፕስ ላይ ተመስርተው በሌሎች መሳሪያዎች ላይ ችግሮችም ይታያሉ ነገር ግን እስካሁን በአምራቾቹ አልተረጋገጡም እና አልተስተካከሉም:
- ኢንጂኒየስ EGS2110P፣ EWS1200-28TFP፣ EWS1200-28TFP;
- PLANET GS-4210-8P2S, GS-4210-24T2;
- DrayTek VigorSwitch P1100;
- CERIO CS-2424G-24P;
- Xhome DownLoop-G24M;
- Abaniact (INABA) AML2-PS16-17GP L2;
- Araknis Networks (SnapAV) AN-310-SW-16-POE;
- EDIMAX GS-5424PLC፣ GS-5424PLC;
- Mesh OMS24 ን ይክፈቱ;
- Pakedgedevice SX-8P;
- TG-NET P3026M-24POE.
ምንጭ: opennet.ru