思科小型企业系列交换机中已发现四个漏洞,允许远程攻击者在未经身份验证的情况下以根权限获得对设备的完全访问权限。 要利用这些问题,攻击者必须能够向提供 Web 界面的网络端口发送请求。 这些问题被指定为严重危险级别(4 分(满分 9.8 分))。 据报道,一个可用的漏洞利用原型已经可用。
已识别的漏洞(CVE-2023-20159、CVE-2023-20160、CVE-2023-20161、CVE-2023-20189)是由于在预身份验证阶段使用各种可用处理程序中的内存时出现错误引起的。 该漏洞在处理专门设计的外部数据时会导致缓冲区溢出。 此外,思科小型企业系列中还发现了四个不太危险的漏洞(CVE-2023-20024、CVE-2023-20156、CVE-2023-20157、CVE-2023-20158),这些漏洞允许远程拒绝服务,还有一个漏洞(CVE-2023-20162),无需身份验证即可获取设备配置信息。
该漏洞影响智能交换机250、350、350X、550X、Business 250和Business 350系列,以及Small Business 200、300和500系列。220和Business 220系列不受该漏洞影响。 这些问题已在固件更新 2.5.9.16 和 3.3.0.16 中修复。 对于 Small Business 200、300 和 500 系列,不会生成固件更新,因为这些型号的生命周期已经完成。
来源: opennet.ru