Cisco Small Business цуврал унтраалгад дөрвөн эмзэг байдлыг илрүүлсэн бөгөөд энэ нь таниулаагүй алсын халдагчдад үндсэн эрх бүхий төхөөрөмжид бүрэн нэвтрэх боломжийг олгодог. Асуудлыг ашиглахын тулд халдагч вэб интерфэйсийг хангадаг сүлжээний порт руу хүсэлт илгээх боломжтой байх ёстой. Асуудлыг аюулын эгзэгтэй түвшинд (4-аас 9.8) оноодог. Ажиллаж буй мөлжлөгийн прототип бэлэн болсон гэж мэдээлж байна.
Тодорхойлсон сул талууд (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, CVE-2023-20189) нь баталгаажуулалтын өмнөх үе шатанд байгаа янз бүрийн зохицуулагчийн санах ойтой ажиллах үед гарсан алдаанаас үүдэлтэй. Тусгайлан боловсруулсан гадаад өгөгдлийг боловсруулах үед эмзэг байдал нь буфер халихад хүргэдэг. Нэмж дурдахад, Cisco Small Business цувралд үйлчилгээнээс алсаас татгалзах боломжийг олгодог дөрвөн аюул багатай эмзэг байдлыг (CVE-2023-20024, CVE-2023-20156, CVE-2023-20157, CVE-2023-20158) илрүүлсэн. эмзэг байдал (CVE-2023-20162), энэ нь төхөөрөмжийн тохиргооны мэдээллийг баталгаажуулалтгүйгээр авах боломжтой болгодог.
Сул талууд нь Smart Switch 250, 350, 350X, 550X, Business 250, Business 350 цувралууд, мөн Small Business 200, 300, 500 цувралуудад нөлөөлдөг. 220, Business 220 цувралууд эмзэг байдалд өртөхгүй. Програм хангамжийн шинэчлэлт 2.5.9.16 болон 3.3.0.16-д гарсан асуудлуудыг зассан. Small Business 200, 300, 500 цувралын хувьд эдгээр загваруудын ашиглалтын хугацаа аль хэдийн дууссан тул програм хангамжийн шинэчлэлтүүд хийгдэхгүй.
Эх сурвалж: opennet.ru