思科小型企業系列交換器中已發現四個漏洞,這些漏洞允許未經身份驗證的遠端攻擊者以 root 權限獲得對裝置的完全存取權。要利用這些問題,攻擊者必須能夠向提供 Web 介面的網路連接埠發送請求。這些問題被指定為嚴重危險等級(4 分(滿分 9.8 分))。據報道,一個可用的漏洞利用原型已經可用。
已識別的漏洞(CVE-2023-20159、CVE-2023-20160、CVE-2023-20161、CVE-2023-20189)是由於在預先驗證階段使用各種可用處理程序中的記憶體時出現錯誤引起的。此漏洞在處理專門設計的外部資料時會導致緩衝區溢位。此外,思科小型企業系列中還發現了四個不太危險的漏洞(CVE-2023-20024、CVE-2023-20156、CVE-2023-20157、CVE-2023-20158),這些漏洞允許遠端拒絕服務,還有一個漏洞(CVE-2023-20162),無需身份驗證即可取得設備配置資訊。
此漏洞影響智慧型交換器250、350、350X、550X、Business 250和Business 350系列,以及Small Business 200、300和500系列。這些問題已在韌體更新 220 和 220 中修復。對於 Small Business 2.5.9.16、3.3.0.16 和 200 系列,不會產生韌體更新,因為這些型號的生命週期已經完成。
來源: opennet.ru
