Cisco Small Business seriyalı açarlarında identifikasiyası olmayan uzaqdan hücum edən şəxsə kök hüquqları ilə cihaza tam giriş əldə etməyə imkan verən dörd boşluq müəyyən edilib. Problemlərdən istifadə etmək üçün təcavüzkar veb interfeysi təmin edən şəbəkə portuna sorğu göndərə bilməlidir. Problemlərə kritik təhlükə dərəcəsi verilir (4-dan 9.8). İşləyən istismarın prototipinin mövcud olduğu bildirilir.
Müəyyən edilmiş boşluqlar (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, CVE-2023-20189) autentifikasiyadan əvvəl mövcud olan müxtəlif işləyicilərdə yaddaşla işləyərkən baş verən xətalardan qaynaqlanır. Zəifliklər xüsusi hazırlanmış xarici məlumatların işlənməsi zamanı buferin daşmasına səbəb olur. Bundan əlavə, Cisco Small Business seriyasında xidmətdən uzaqdan imtina etməyə imkan verən dörd daha az təhlükəli boşluq (CVE-2023-20024, CVE-2023-20156, CVE-2023-20157, CVE-2023-20158) müəyyən edilmişdir. açığı ( CVE-2023-20162) təsdiqləmədən cihaz konfiqurasiyası məlumatını əldə etməyə imkan verir.
Zəifliklər Smart Switch 250, 350, 350X, 550X, Business 250 və Business 350 seriyalarına, eləcə də Small Business 200, 300 və 500 seriyalarına təsir edir.220 və Business 220 seriyaları zəiflikdən təsirlənmir. Problemlər 2.5.9.16 və 3.3.0.16 proqram təminatı yeniləmələrində aradan qaldırıldı. Small Business 200, 300 və 500 seriyası üçün mikroproqram yeniləmələri yaradılmayacaq, çünki bu modellərin həyat dövrü artıq başa çatıb.
Mənbə: opennet.ru