PT-2022-2294 · Cisco · Cisco Small Business Rv345+3
Stephen Fewer
·
Publicado
2022-02-02
·
Atualizado
2024-09-21
·
CVE-2022-20707
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Cisco Small Business RV340, versões le1.0.03.24 e anteriores
Roteadores das séries Cisco Small Business RV160, RV260, RV340 e RV345 (versões afetadas não especificadas)
Descrição
A vulnerabilidade existe devido à falta de medidas para neutralizar elementos especiais usados no comando do sistema operacional. A exploração da vulnerabilidade pode permitir que um invasor remoto execute comandos arbitrários usando uma solicitação especialmente criada. O problema também pode permitir que um invasor execute código arbitrário, eleve privilégios, contorne proteções de autenticação e autorização, obtenha e execute software não assinado ou cause negação de serviço (DoS).
Recomendações
Para o Cisco Small Business RV340 versão le1.0.03.24 e anteriores, atualize para uma versão posterior à le1.0.03.24 para resolver o problema.
Para os roteadores das séries Cisco Small Business RV160, RV260, RV340 e RV345, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
OS Command Injection
Memory Corruption
Stack Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Small Business Rv160
Cisco Small Business Rv260
Cisco Small Business Rv340
Cisco Small Business Rv345