Argitalpen data: 2020/7/16
Garrantzia: Kritikoa
Kaltetutako baliabideak:
- Cisco PLM Software, 10.5(2)SU9, 11.5(1)SU6 eta aurreko bertsioak;
- Cisco RV215W Wireless-N VPN Router, 1.3.1.7 baino bertsio zaharragoak;
- Cisco RV110W Wireless-N VPN Firewall, bertsio guztiak;
- Cisco RV130 VPN Router, bertsio guztiak;
- Cisco RV130W Wireless-N Multifunction VPN Router, bertsio guztiak;
- Cisco RV215W Wireless-N VPN Router, bertsio guztiak.
Azalpena:
Ciscok hainbat zaurgarritasun argitaratu ditu, guztiak ere kritikoak; haien bidez, autentifikatu gabeko urruneko erasotzaile batek aukera izango luke gailura baimenik gabe sartzeko, kode arbitrarioa exekutatzeko edo sistemaren erabateko kontrola lortzeko.
Konponbidea:
Eguneratu bertsio hauetara, Ciscoren softwarearen deskarga-paneletik:
- Cisco PLM 10.5(2)SU10 edo berriagoa;
- Cisco PLM 11.5(1)SU7 edo berriagoa;
- RV110W Wireless-N VPN Firewall, 1.2.2.8 bertsioa;
- RV215W Wireless-N VPN Router, 1.3.1.7 bertsioa;
- RV130 VPN Router, 1.0.3.55 bertsioa;
- RV130W Wireless-N Multifunction VPN Router, 1.0.3.55 bertsioa;
- RV215W Wireless-N VPN Router, 1.3.1.7 bertsioa.
Xehetasunak:
- Erabiltzaileek webgunearen kudeaketa-interfazean egiten dituzten ekarpenak ez baliozkotzeak aukera eman diezaioke erasotzaile bati sisteman administratzaile-pribilegioak lortzeko, sistema kaltetu batera eskaera maltzur bat bidalita. Erasotzaileak erabiltzaile-izen baliodun bat behar du zaurgarritasun hori ustiatzeko. CVE-2020-3140 identifikatzailea esleitu zaio zaurgarritasun horri.
- Erabiltzaileak webgunean oinarritutako kudeaketa-interfazearen bidez emandako sarrera-datuak desegoki baliozkotuz gero, erasotzaile batek kode arbitrarioa exekutatu ahal izango du erroko erabiltzailearen pribilegioekin, bereziki diseinatutako eskaerak gailu espezifiko batera bidalita. CVE-2020-3331 identifikatzailea esleitu zaio zaurgarritasun horri.
- Eragindako gailuetan saioen kudeaketa desegokiak aukera eman diezaioke erasotzaileari eragindako gailuan administratzailearen sarbidea lortzeko, eragindako gailuari bereziki diseinatutako HTTP eskaera bidalita. CVE-2020-3144 identifikatzailea esleitu zaio zaurgarritasun horri.
- Erabiltzaileak webgunean oinarritutako kudeaketa-interfazean emandako datuak modu desegokian baliozkotuz gero, erasotzaileak kode arbitrarioa exekutatu ahal izango du root gisa eragindako gailuaren azpiko sistema eragilean, bereziki diseinatutako HTTP eskaerak gailu espezifiko batera bidalita. CVE-2020-3323 identifikatzailea esleitu zaio zaurgarritasun horri.
- Sistemaren kontu batek aurrez zehaztutako pasahitz estatikoa du. Erasotzaile batek lehenetsitako kontu hori erabili ahal izango luke eragindako sistemara konektatzeko eta gailuaren kontrol osoa lortzeko. CVE-2020-3330 identifikatzailea esleitu zaio zaurgarritasun horri.
Etiketak: Eguneratzea, Cisco, zaurgarritasuna