Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-1914

Опубликовано: 07 авг. 2019
Источник: nvd
CVSS3: 7.2
CVSS2: 9
EPSS Низкий

Описание

A vulnerability in the web management interface of Cisco Small Business 220 Series Smart Switches could allow an authenticated, remote attacker to perform a command injection attack. The vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by sending a malicious request to certain parts of the web management interface. To send the malicious request, the attacker needs a valid login session in the web management interface as a privilege level 15 user. Depending on the configuration of the affected switch, the malicious request must be sent via HTTP or HTTPS. A successful exploit could allow the attacker to execute arbitrary shell commands with the privileges of the root user.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:cisco:sf-220-24_firmware:*:*:*:*:*:*:*:*
Версия до 1.1.4.4 (исключая)
cpe:2.3:h:cisco:sf-220-24:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

cpe:2.3:o:cisco:sf220-24p_firmware:*:*:*:*:*:*:*:*
Версия до 1.1.4.4 (исключая)
cpe:2.3:h:cisco:sf220-24p:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

cpe:2.3:o:cisco:sf220-48_firmware:*:*:*:*:*:*:*:*
Версия до 1.1.4.4 (исключая)
cpe:2.3:h:cisco:sf220-48:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

cpe:2.3:o:cisco:sf220-48p_firmware:*:*:*:*:*:*:*:*
Версия до 1.1.4.4 (исключая)
cpe:2.3:h:cisco:sf220-48p:-:*:*:*:*:*:*:*
Конфигурация 5

Одновременно

cpe:2.3:o:cisco:sg220-26_firmware:*:*:*:*:*:*:*:*
Версия до 1.1.4.4 (исключая)
cpe:2.3:h:cisco:sg220-26:-:*:*:*:*:*:*:*
Конфигурация 6

Одновременно

cpe:2.3:o:cisco:sg220-26p_firmware:*:*:*:*:*:*:*:*
Версия до 1.1.4.4 (исключая)
cpe:2.3:h:cisco:sg220-26p:-:*:*:*:*:*:*:*
Конфигурация 7

Одновременно

cpe:2.3:o:cisco:sg220-28_firmware:*:*:*:*:*:*:*:*
Версия до 1.1.4.4 (исключая)
cpe:2.3:h:cisco:sg220-28:-:*:*:*:*:*:*:*
Конфигурация 8

Одновременно

cpe:2.3:o:cisco:sg220-28mp_firmware:*:*:*:*:*:*:*:*
Версия до 1.1.4.4 (исключая)
cpe:2.3:h:cisco:sg220-28mp:-:*:*:*:*:*:*:*
Конфигурация 9

Одновременно

cpe:2.3:o:cisco:sg220-50_firmware:*:*:*:*:*:*:*:*
Версия до 1.1.4.4 (исключая)
cpe:2.3:h:cisco:sg220-50:-:*:*:*:*:*:*:*
Конфигурация 10

Одновременно

cpe:2.3:o:cisco:sg220-50p_firmware:*:*:*:*:*:*:*:*
Версия до 1.1.4.4 (исключая)
cpe:2.3:h:cisco:sg220-50p:-:*:*:*:*:*:*:*
Конфигурация 11

Одновременно

cpe:2.3:o:cisco:sg220-52_firmware:*:*:*:*:*:*:*:*
Версия до 1.1.4.4 (исключая)
cpe:2.3:h:cisco:sg220-52:-:*:*:*:*:*:*:*

EPSS

Процентиль: 85%
0.0235
Низкий

7.2 High

CVSS3

9 Critical

CVSS2

Дефекты

CWE-20
CWE-20

Связанные уязвимости

github логотип

GHSA-pc87-g4cg-ch62

CVSS3: 7.2
github
больше 3 лет назад

A vulnerability in the web management interface of Cisco Small Business 220 Series Smart Switches could allow an authenticated, remote attacker to perform a command injection attack. The vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by sending a malicious request to certain parts of the web management interface. To send the malicious request, the attacker needs a valid login session in the web management interface as a privilege level 15 user. Depending on the configuration of the affected switch, the malicious request must be sent via HTTP or HTTPS. A successful exploit could allow the attacker to execute arbitrary shell commands with the privileges of the root user.

fstec логотип

BDU:2019-02870

CVSS3: 7.2
fstec
больше 6 лет назад

Уязвимость веб-интерфейса администрирования маршрутизаторов Cisco Small Business серии 220, позволяющая нарушителю выполнить произвольные команды с привилегиями root

EPSS

Процентиль: 85%
0.0235
Низкий

7.2 High

CVSS3

9 Critical

CVSS2

Дефекты

CWE-20
CWE-20