Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2023-02662: Уязвимость веб-интерфейса микропрограммного обеспечения коммутаторов Cisco Small Business Series Switches, позволяющая нарушителю выполнить произвольный код

Описание уязвимости	Уязвимость веб-интерфейса микропрограммного обеспечения коммутаторов Cisco Small Business Series Switches связана с возможностью переполнения буфера на основе стека. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
Вендор	Cisco Systems Inc.
Наименование ПО	Cisco Small Business 200 Series Smart Switches, Cisco Small Business 500 Series Stackable Managed Switches, Cisco Small Business 300 Series Managed Switches, Cisco 350X Series Stackable Managed Switches, Cisco 550X Series Stackable Managed Switches, Cisco 250 Series Smart Switches, Cisco 350 Series Managed Switches, Business 250 Series Smart Switches, Business 350 Series Managed Switches
Версия ПО	- (Cisco Small Business 200 Series Smart Switches) - (Cisco Small Business 500 Series Stackable Managed Switches) - (Cisco Small Business 300 Series Managed Switches) до 2.5.9.16 (Cisco 350X Series Stackable Managed Switches) до 2.5.9.16 (Cisco 550X Series Stackable Managed Switches) до 2.5.9.16 (Cisco 250 Series Smart Switches) до 2.5.9.16 (Cisco 350 Series Managed Switches) до 3.3.0.16 (Business 250 Series Smart Switches) до 3.3.0.16 (Business 350 Series Managed Switches)
Тип ПО	ПО сетевого программно-аппаратного средства, Сетевое программное средство
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Копирование буфера без проверки размера входных данных (классическое переполнение буфера)
Идентификатор типа ошибки	CWE-120
Класс уязвимости	Уязвимость кода
Дата выявления	17.05.2023
Базовый вектор уязвимости	CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости	Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости	Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков. Компенсирующие меры: - выделение веб-интерфейса управления в отдельный сегмент сети с ограничением доступа к нему средствами межсетевого экранирования; - исключение доступа к веб-интерфейсу управления из общедоступных сетей (Интернет). - использование межсетевого экрана уровня приложений; - использование системы обнаружения и предотвращения вторжений. Использование рекомендаций производителя: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sg-web-multi-S9g4Nkgv
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Существует
Способ эксплуатации	Манипулирование структурами данных
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sg-web-multi-S9g4Nkgv
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2023-20159
Прочая информация	Данные уточняются

Последние изменения