Fjórir veikleikar hafa verið greindir í Cisco Small Business röð rofum sem gera fjarlægum árásarmanni án auðkenningar kleift að fá fullan aðgang að tækinu með rótarréttindi. Til að nýta vandamálin verður árásarmaðurinn að geta sent beiðnir á netgáttina sem veitir vefviðmótið. Vandamálunum er úthlutað hættustigi (4 af 9.8). Tilkynnt er að frumgerð af starfandi hagnýtingu sé tiltæk.
Tilgreindu veikleikarnir (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, CVE-2023-20189) stafa af villum þegar unnið er með minni í ýmsum meðhöndlum sem eru tiltækir á forstaðfestingarstigi. Veikleikarnir leiða til yfirflæðis biðminni þegar unnið er með sérhönnuð ytri gögn. Að auki hafa fjórir hættuminni veikleikar (CVE-2023-20024, CVE-2023-20156, CVE-2023-20157, CVE-2023-20158) verið greindir í Cisco Small Business röðinni sem leyfa fjarlægri afneitun á þjónustu, og einn varnarleysi ( CVE-2023-20162), sem gerir það mögulegt að fá upplýsingar um stillingar tækisins án auðkenningar.
Veikleikarnir hafa áhrif á Smart Switch 250, 350, 350X, 550X, Business 250 og Business 350 seríurnar, sem og Small Business 200, 300 og 500. 220 og Business 220 seríurnar verða ekki fyrir áhrifum af varnarleysinu. Vandamálin voru lagfærð í vélbúnaðaruppfærslum 2.5.9.16 og 3.3.0.16. Fyrir Small Business 200, 300 og 500 seríurnar verða fastbúnaðaruppfærslur ekki búnar til þar sem líftíma þessara gerða hefur þegar verið lokið.
Heimild: opennet.ru