Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-00618

Опубликовано: 27 окт. 2022
Источник: fstec
CVSS3: 5.3
CVSS2: 5
EPSS Критический

Описание

Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов Cisco Small Business RV340, RV340W, RV345 и R345P связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, загружать произвольные файлы путем отправки специально созданного HTTP-запроса

Вендор

Cisco Systems Inc.

Наименование ПО

Cisco RV340
Cisco RV340W
Cisco RV345
Cisco RV345P

Версия ПО

до 1.0.03.29 включительно (Cisco RV340)
до 1.0.03.29 включительно (Cisco RV340W)
до 1.0.03.29 включительно (Cisco RV345)
до 1.0.03.29 включительно (Cisco RV345P)

Тип ПО

ПО сетевого программно-аппаратного средства
Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

Компания Cisco не планирует выпускать обновления для данных моделей маршрутизаторов, т.к они вступили в процесс вывода из эксплуатации и рекомендует перейти на маршрутизаторы Cisco Small Business RV340, RV340W, RV345, RV345P
Компенсирующие меры:
- отключение параметра RESTCONF в разделе Firewall > Basic Settings.
Организационные меры:
1. Ограничить использование маршрутизаторов RV340, RV340W, RV345, RV345P
2. Использование аналогичного программно-аппаратного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.91371
Критический

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-20073

CVSS3: 5.3
nvd
почти 3 года назад

A vulnerability in the web-based management interface of Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers could allow an unauthenticated, remote attacker to upload arbitrary files to an affected device. This vulnerability is due to insufficient authorization enforcement mechanisms in the context of file uploads. An attacker could exploit this vulnerability by sending a crafted HTTP request to an affected device. A successful exploit could allow the attacker to upload arbitrary files to the affected device.

github логотип

GHSA-w538-44mp-m2cm

CVSS3: 9.8
github
почти 3 года назад

A vulnerability in the web-based management interface of Cisco RV340, RV340W, RV345, and RV345P Dual WAN Gigabit VPN Routers could allow an unauthenticated, remote attacker to upload arbitrary files to an affected device. This vulnerability is due to insufficient authorization enforcement mechanisms in the context of file uploads. An attacker could exploit this vulnerability by sending a crafted HTTP request to an affected device. A successful exploit could allow the attacker to upload arbitrary files to the affected device.

EPSS

Процентиль: 100%
0.91371
Критический

5.3 Medium

CVSS3

5 Medium

CVSS2