Apat na mga kahinaan ang natukoy sa mga switch ng serye ng Cisco Small Business na nagbibigay-daan sa isang malayuang umaatake nang walang pagpapatotoo na makakuha ng ganap na access sa device na may mga karapatan sa ugat. Upang samantalahin ang mga problema, ang umaatake ay dapat na makapagpadala ng mga kahilingan sa network port na nagbibigay ng web interface. Ang mga problema ay itinalaga sa isang kritikal na antas ng panganib (4 sa 9.8). Ang isang prototype ng isang gumaganang pagsasamantala ay iniulat na magagamit.
Ang mga natukoy na kahinaan (CVE-2023-20159, CVE-2023-20160, CVE-2023-20161, CVE-2023-20189) ay sanhi ng mga error kapag nagtatrabaho gamit ang memory sa iba't ibang handler na available sa yugto ng pre-authentication. Ang mga kahinaan ay humantong sa isang buffer overflow kapag nagpoproseso ng espesyal na idinisenyong panlabas na data. Bilang karagdagan, apat na hindi gaanong mapanganib na mga kahinaan (CVE-2023-20024, CVE-2023-20156, CVE-2023-20157, CVE-2023-20158) ang natukoy sa serye ng Cisco Small Business na nagbibigay-daan sa malayuang pagtanggi sa serbisyo, at isa kahinaan ( CVE-2023-20162), na ginagawang posible na makakuha ng impormasyon ng configuration ng device nang walang authentication.
Ang mga kahinaan ay nakakaapekto sa Smart Switch 250, 350, 350X, 550X, Business 250 at Business 350 series, pati na rin ang Small Business 200, 300 at 500 series. Ang 220 at Business 220 series ay hindi apektado ng kahinaan. Ang mga problema ay naayos sa mga update ng firmware 2.5.9.16 at 3.3.0.16. Para sa Small Business 200, 300 at 500 series, hindi bubuo ang mga update sa firmware, dahil nakumpleto na ang life cycle ng mga modelong ito.
Pinagmulan: opennet.ru