Cisco Small Business сериясының қосқыштарында аутентификациясыз қашықтағы шабуылдаушыға түбірлік құқықтары бар құрылғыға толық қол жеткізуге мүмкіндік беретін төрт осалдық анықталды. Мәселелерді пайдалану үшін шабуылдаушы веб-интерфейсті қамтамасыз ететін желі портына сұрауларды жібере алуы керек. Мәселелерге қауіптіліктің критикалық деңгейі берілген (4-нан 9.8). Жұмыс істеп тұрған эксплойттың прототипі қолжетімді деп хабарланды.
Анықталған осалдықтар (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, CVE-2023-20189) алдын ала аутентификация сатысында қолжетімді әртүрлі өңдеушілердегі жадпен жұмыс істеу кезіндегі қателерден туындайды. Арнайы әзірленген сыртқы деректерді өңдеу кезінде осалдықтар буфердің толып кетуіне әкеледі. Сонымен қатар, Cisco Small Business сериясында қызмет көрсетуден қашықтан бас тартуға мүмкіндік беретін төрт қауіптілігі азырақ осалдық (CVE-2023-20024, CVE-2023-20156, CVE-2023-20157, CVE-2023-20158) анықталды. аутентификациясыз құрылғы конфигурациясының ақпаратын алуға мүмкіндік беретін осалдық (CVE-2023-20162).
Осалдықтар Smart Switch 250, 350, 350X, 550X, Business 250 және Business 350 серияларына, сондай-ақ Small Business 200, 300 және 500 серияларына әсер етеді. 220 және Business 220 серияларына осалдық әсер етпейді. Мәселелер 2.5.9.16 және 3.3.0.16 микробағдарлама жаңартуларында түзетілді. Small Business 200, 300 және 500 сериялары үшін микробағдарлама жаңартулары жасалмайды, себебі бұл үлгілердің өмірлік циклі әлдеқашан аяқталды.
Ақпарат көзі: opennet.ru