V stikalih Cisco serije Small Business so bile odkrite štiri ranljivosti, ki oddaljenemu napadalcu omogočajo poln dostop do naprave brez preverjanja pristnosti. Da bi napadalec izkoristil te ranljivosti, mora imeti možnost pošiljanja zahtev na omrežna vrata, ki podpirajo spletni vmesnik. Te ranljivosti so bile ocenjene kot kritične (9.8 od 10). Poročan je bil delujoč prototip izkoriščanja.
Ugotovljene ranljivosti (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, CVE-2023-20189) povzročajo napake pomnilnika v različnih obdelovalcih, ki so na voljo med fazo predhodne avtentikacije. Ranljivosti vodijo do preobremenitve medpomnilnika pri obdelavi posebej oblikovanih zunanjih podatkov. Poleg tega so bile v seriji Cisco Small Business ugotovljene štiri manj resne ranljivosti (CVE-2023-20024, CVE-2023-20156, CVE-2023-20157, CVE-2023-20158), ki oddaljenemu napadalcu omogočajo začetek zavrnitve storitve, in ena ranljivost (CVE-2023-20162), ki omogoča pridobitev konfiguracije naprave brez avtentikacije.
Ranljivosti vplivajo na stikala Smart Switch serij 250, 350, 350X, 550X, Business 250 in Business 350, pa tudi na stikala serij Small Business 200, 300 in 500. Stikala serij 220 in Business 220 niso ranljiva. Težave so bile odpravljene v posodobitvah vdelane programske opreme 2.5.9.16 in 3.3.0.16. Posodobitve vdelane programske opreme za serije Small Business 200, 300 in 500 ne bodo izdane, saj so ti modeli dosegli konec življenjske dobe.
Vir: opennet.ru
