Ing ngalih adhedhasar Kripik RTL83xx, kalebu Cisco Small Business 220, Zyxel GS1900-24, NETGEAR GS75x, ALLNET ALL-SG8208M lan luwih saka rolas piranti saka manufaktur rodok kurang-dikenal, vulnerabilities kritis sing ngidini panyerang unauthenticated kanggo gain kontrol saklar. Masalah kasebut disebabake kesalahan ing Realtek Managed Switch Controller SDK, kode sing digunakake kanggo nyiapake perangkat kukuh.
(CVE-2019-1913) mengaruhi antarmuka kontrol web lan ngidini sampeyan nglakokake kode kanthi hak istimewa pangguna root. Kerentanan amarga ora cukup validasi parameter sing diwenehake pangguna lan gagal ngevaluasi wates buffer kanthi bener nalika maca data input. AkibatΓ©, panyerang bisa nyebabake kebanjiran buffer kanthi ngirim panjalukan sing digawe khusus lan ngeksploitasi masalah kasebut kanggo nglakokake kode kasebut.
(CVE-2019-1912) ngidini file sewenang-wenang dimuat menyang saklar tanpa otentikasi, kalebu nimpa file konfigurasi lan ngluncurake cangkang mbalikke kanggo login remot. Masalah kasebut disebabake dening mriksa ijin sing ora lengkap ing antarmuka web.
Sampeyan uga bisa nyathet eliminasi kurang mbebayani (CVE-2019-1914), sing ngidini printah sewenang-wenang dieksekusi kanthi hak istimewa ROOT yen ana login asli sing ora duwe hak istimewa ing antarmuka web. Masalah ditanggulangi ing Cisco Small Business 220 (1.1.4.4), Zyxel, lan nganyari perangkat kukuh NETGEAR. Katrangan rinci babagan cara operasi direncanakake 20 Agustus.
Masalah uga katon ing piranti liyane adhedhasar chip RTL83xx, nanging durung dikonfirmasi dening manufaktur lan durung didandani:
- EnGenius EGS2110P, EWS1200-28TFP, EWS1200-28TFP;
- PLANET GS-4210-8P2S, GS-4210-24T2;
- DrayTek VigorSwitch P1100;
- CERIO CS-2424G-24P;
- Xhome DownLoop-G24M;
- Abaniact (INABA) AML2-PS16-17GP L2;
- Jaringan Araknis (SnapAV) AN-310-SW-16-POE;
- EDIMAX GS-5424PLC, GS-5424PLC;
- Bukak Mesh OMS24;
- Pakedgedevice SX-8P;
- TG-NET P3026M-24POE.
Source: opennet.ru