Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-00545: Уязвимость веб-интерфейса управления микропрограммного обеспечения VPN-маршрутизаторов Cisco Small Business RV160, RV160W, RV260, RV260P и RV260W, связанная с недостаточной очисткой особых элементов в выходных данных, используемых входящим компонентом, позволяющая нарушителю выполнить произвольные команды

Описание уязвимости	Уязвимость веб-интерфейса управления микропрограммного обеспечения VPN-маршрутизаторов Cisco Small Business RV160, RV160W, RV260, RV260P и RV260W связана с недостаточной очисткой особых элементов в выходных данных, используемых входящим компонентом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды
Вендор	Cisco Systems Inc.
Наименование ПО	Cisco Small Business RV160, Cisco Small Business RV160W, Cisco Small Business RV260, Cisco Small Business RV260P, Cisco Small Business RV260W
Версия ПО	- (Cisco Small Business RV160) - (Cisco Small Business RV160W) - (Cisco Small Business RV260) - (Cisco Small Business RV260P) - (Cisco Small Business RV260W)
Тип ПО	ПО сетевого программно-аппаратного средства, Сетевое средство
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Неверная нейтрализация особых элементов в выходных данных, используемых входящим компонентом («инъекция»), Непринятие мер по нейтрализации специальных элементов, используемых в команде операционной системы (Внедрение в команду операционной системы), Недостаточное обеспечение правильности сообщения или структуры данных
Идентификатор типа ошибки	CWE-74 CWE-78 CWE-707
Класс уязвимости	Уязвимость кода
Дата выявления	11.01.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:M/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)
Возможные меры по устранению уязвимости	Компания Cisco не планирует выпускать обновления для данных моделей маршрутизаторов, т.к они вступили в процесс вывода из эксплуатации и рекомендует перейти на маршрутизаторы Cisco Small Business RV132W, RV160 или RV160W. Организационные меры: 1. Ограничить использование маршрутизаторов RV160, RV160W, RV260, RV260P и RV260W 2. Использование аналогичного программно-аппаратного средства
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Инъекция
Способ устранения	Организационные меры
Информация об устранении	Информация об устранении отсутствует
Ссылки на источники	https://vuldb.com/ru/?id.218027 https://nvd.nist.gov/vuln/detail/CVE-2023-20045 https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-cmd-exe-n47kJQLE
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-20045
Прочая информация	Данные уточняются

Последние изменения