BDU:2022-04984: Уязвимость веб-интерфейса управления микропрограммного обеспечения беспроводных маршрутизаторов Cisco Small Business RV110W, RV130, RV130W и RV215W, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании

Описание уязвимости Уязвимость веб-интерфейса управления микропрограммного обеспечения беспроводных маршрутизаторов Cisco Small Business RV110W, RV130, RV130W и RV215W связана с копированием буфера без проверки размера входных данных при обработке пользовательских полей во входящих HTTP-пакетах. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или вызвать отказ в обслуживании путем отправки специально созданного запроса
Вендор Cisco Systems Inc.
Наименование ПО Cisco RV130, RV130W Wireless-N Multifunction VPN Router, Cisco Small Business RV110W, RV215W Wireless-N VPN Router
Версия ПО - (Cisco RV130), - (RV130W Wireless-N Multifunction VPN Router), - (Cisco Small Business RV110W), - (RV215W Wireless-N VPN Router)
Тип ПО Сетевое средство, ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Копирование буфера без проверки размера входных данных (классическое переполнение буфера)
Идентификатор типа ошибки CWE-120
Класс уязвимости Уязвимость кода
Дата выявления 20.07.2022
Базовый вектор уязвимости
  • CVSS 2.0: AV:N/AC:L/Au:S/C:P/I:P/A:P
  • CVSS 3.0: AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L
Уровень опасности уязвимости Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 4,7)
Возможные меры по устранению уязвимости
Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Организационные меры
Информация об устранении Информация об устранении отсутствует
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются