Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-02733

Опубликовано: 17 мая 2023
Источник: fstec
CVSS3: 8.6
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость веб-интерфейса микропрограммного обеспечения коммутаторов Cisco Small Business Series Switches связана с возможностью переполнения буфера на основе стека. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Cisco Systems Inc.

Наименование ПО

Cisco Small Business 200 Series Smart Switches
Cisco Small Business 500 Series Stackable Managed Switches
Cisco Small Business 300 Series Managed Switches
Cisco 350X Series Stackable Managed Switches
Cisco 550X Series Stackable Managed Switches
Cisco 250 Series Smart Switches
Cisco 350 Series Managed Switches
Business 250 Series Smart Switches
Business 350 Series Managed Switches

Версия ПО

- (Cisco Small Business 200 Series Smart Switches)
- (Cisco Small Business 500 Series Stackable Managed Switches)
- (Cisco Small Business 300 Series Managed Switches)
до 2.5.9.16 (Cisco 350X Series Stackable Managed Switches)
до 2.5.9.16 (Cisco 550X Series Stackable Managed Switches)
до 2.5.9.16 (Cisco 250 Series Smart Switches)
до 2.5.9.16 (Cisco 350 Series Managed Switches)
до 3.3.0.16 (Business 250 Series Smart Switches)
до 3.3.0.16 (Business 350 Series Managed Switches)

Тип ПО

ПО сетевого программно-аппаратного средства
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- выделение веб-интерфейса управления в отдельный сегмент сети с ограничением доступа к нему средствами межсетевого экранирования;
- исключение доступа к веб-интерфейсу управления из общедоступных сетей (Интернет).
- использование межсетевого экрана уровня приложений;
- использование системы обнаружения и предотвращения вторжений.
Использование рекомендаций производителя:
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sg-web-multi-S9g4Nkgv

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 69%
0.00611
Низкий

8.6 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-20024

CVSS3: 8.6
nvd
около 2 лет назад

Multiple vulnerabilities in the web-based user interface of certain Cisco Small Business Series Switches could allow an unauthenticated, remote attacker to cause a denial of service (DoS) condition or execute arbitrary code with root privileges on an affected device. These vulnerabilities are due to improper validation of requests that are sent to the web interface. For more information about these vulnerabilities, see the Details section of this advisory.

github логотип

GHSA-27j4-63cp-jxg6

CVSS3: 8.6
github
около 2 лет назад

Multiple vulnerabilities in the web-based user interface of certain Cisco Small Business Series Switches could allow an unauthenticated, remote attacker to cause a denial of service (DoS) condition or execute arbitrary code with root privileges on an affected device. These vulnerabilities are due to improper validation of requests that are sent to the web interface. For more information about these vulnerabilities, see the Details section of this advisory.

EPSS

Процентиль: 69%
0.00611
Низкий

8.6 High

CVSS3

7.8 High

CVSS2