Upat ka mga kahuyangan ang nakit-an sa mga switch sa serye sa Cisco Small Business nga nagtugot sa usa ka remote attacker nga makakuha og hingpit nga root access sa device nga wala’y authentication. Aron mapahimuslan kini nga mga kahuyangan, ang usa ka attacker kinahanglan nga makapadala mga hangyo sa network port nga nagsuporta sa web interface. Kini nga mga kahuyangan gi-rate nga kritikal (9.8 sa 10). Usa ka nagtrabaho nga exploit prototype ang gitaho.
Ang mga kahuyangan nga nailhan (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, CVE-2023-20189) gipahinabo sa mga sayop sa memorya sa lainlaing mga handler nga magamit sa panahon sa pre-authentication phase. Ang mga kahuyangan mosangpot sa buffer overflows kung giproseso ang espesyal nga gihimo nga eksternal nga datos. Dugang pa, upat ka dili kaayo grabe nga mga kahuyangan (CVE-2023-20024, CVE-2023-20156, CVE-2023-20157, CVE-2023-20158) ang nailhan sa serye sa Cisco Small Business, nga nagtugot sa usa ka remote attacker nga magsugod sa usa ka denial of service, ug usa ka kahuyangan (CVE-2023-20162) nga nagtugot sa usa ka configuration sa device nga makuha nga wala’y authentication.
Ang mga kahuyangan nakaapekto sa Smart Switch 250, 350, 350X, 550X, Business 250, ug Business 350 series, ingon man sa Small Business 200, 300, ug 500 series. Ang mga switch sa 220 ug Business 220 series dili delikado. Ang mga isyu natubag na sa mga update sa firmware 2.5.9.16 ug 3.3.0.16. Ang mga update sa firmware dili ipagawas para sa Small Business 200, 300, ug 500 series, tungod kay kini nga mga modelo wala na magamit.
Source: opennet.ru
