Četiri su ranjivosti identificirane u sklopkama serije Cisco Small Business koje omogućuju udaljenom napadaču bez autentifikacije da dobije puni pristup uređaju s root pravima. Kako bi iskoristio probleme, napadač mora moći slati zahtjeve na mrežni priključak koji pruža web sučelje. Problemima je dodijeljena kritična razina opasnosti (4 od 9.8). Prijavljeno je da je dostupan prototip radnog exploita.
Identificirane ranjivosti (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, CVE-2023-20189) uzrokovane su pogreškama pri radu s memorijom u različitim rukovateljima dostupnim u fazi predprovjere autentičnosti. Ranjivosti dovode do prekoračenja međuspremnika prilikom obrade posebno dizajniranih vanjskih podataka. Osim toga, četiri manje opasne ranjivosti (CVE-2023-20024, CVE-2023-20156, CVE-2023-20157, CVE-2023-20158) identificirane su u seriji Cisco Small Business koje dopuštaju udaljeno uskraćivanje usluge, a jedna ranjivost (CVE-2023-20162), koja omogućuje dobivanje informacija o konfiguraciji uređaja bez provjere autentičnosti.
Ranjivosti utječu na serije Smart Switch 250, 350, 350X, 550X, Business 250 i Business 350, kao i na serije Small Business 200, 300 i 500. Ranjivost ne utječe na serije 220 i Business 220. Problemi su riješeni u ažuriranjima firmvera 2.5.9.16 i 3.3.0.16. Za serije Small Business 200, 300 i 500 ažuriranja firmvera neće se generirati jer je životni ciklus ovih modela već završen.
Izvor: opennet.ru