Dina saklar dumasar kana chip RTL83xx, kaasup Cisco Usaha Leutik 220, Zyxel GS1900-24, NETGEAR GS75x, ALLNET ALL-SG8208M sarta leuwih ti belasan alat ti pabrik Lesser-dipikawanoh, kerentanan kritis anu ngamungkinkeun hiji panyerang unauthenticated mangtaun kontrol switch. Masalahna disababkeun ku kasalahan dina Realtek Managed Switch Controller SDK, kodeu anu dianggo pikeun nyiapkeun firmware.
(CVE-2019-1913) mangaruhan antarbeungeut kontrol wéb sareng ngamungkinkeun pikeun ngaéksekusi kode anjeun kalayan hak istimewa pangguna root. Kerentanan ieu disababkeun ku validasi anu teu cekap pikeun parameter anu disayogikeun ku pangguna sareng gagalna ngevaluasi wates panyangga nalika maca data input. Hasilna, panyerang tiasa nyababkeun panyangga mumbul ku ngirim pamundut anu didamel khusus sareng ngamangpaatkeun masalah pikeun ngaéksekusi kodeu.
(CVE-2019-1912) ngamungkinkeun file sawenang-wenang dimuat kana saklar tanpa auténtikasi, kaasup nimpa file konfigurasi sareng ngaluncurkeun cangkang sabalikna pikeun login jauh. Masalahna disababkeun ku pamariksaan idin anu teu lengkep dina antarmuka wéb.
Anjeun oge bisa catetan ngaleungitkeun kirang bahaya (CVE-2019-1914), anu ngamungkinkeun paréntah sawenang dieksekusi kalayan hak husus root lamun aya hiji login unprivileged dioténtikasi kana panganteur web. Isu direngsekeun dina Cisco Usaha Leutik 220 (1.1.4.4), Zyxel, sarta apdet firmware NETGEAR. Pedaran rinci ngeunaan métode operasi rencanana 20 Agustus.
Masalah ogé muncul dina alat anu sanés dumasar kana chip RTL83xx, tapi éta henteu acan dikonfirmasi ku produsén sareng henteu acan dibereskeun:
- EnGenius EGS2110P, EWS1200-28TFP, EWS1200-28TFP;
- PLANET GS-4210-8P2S, GS-4210-24T2;
- DrayTek VigorSwitch P1100;
- CERIO CS-2424G-24P;
- Xhome DownLoop-G24M;
- Abaniact (INABA) AML2-PS16-17GP L2;
- Jaringan Araknis (SnapAV) AN-310-SW-16-POE;
- EDIMAX GS-5424PLC, GS-5424PLC;
- Buka bolong OMS24;
- Pakedgedevice SX-8P;
- TG-NET P3026M-24POE.
sumber: opennet.ru