PT-2022-2297 · Cisco · Rv345+4
Q. Kaiser
·
Publicado
2022-02-02
·
Atualizado
2025-03-13
·
CVE-2022-20708
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Roteadores Cisco Small Business da série RV em versões anteriores à versão corrigida
Roteadores Cisco Small Business das séries RV160, RV260, RV340 e RV345 (versões afetadas não especificadas)
Descrição
A vulnerabilidade permite que um invasor execute código arbitrário, eleve privilégios, execute comandos arbitrários, contorne proteções de autenticação e autorização, obtenha e execute software não assinado e cause negação de serviço (DoS). Isso se deve a várias vulnerabilidades nos roteadores da série Cisco Small Business RV, incluindo uma vulnerabilidade de estouro de buffer baseada em pilha e uma vulnerabilidade de injeção de comando no comando update-clients. A vulnerabilidade pode ser explorada através do envio de uma solicitação especialmente criada, permitindo que um invasor remoto execute comandos arbitrários.
Recomendações
Para os roteadores da série Cisco Small Business RV, atualize para uma versão que contenha uma correção para este problema.
Para os roteadores Cisco Small Business das séries RV160, RV260, RV340 e RV345, considere desativar o comando
update-clients como uma solução temporária até que um patch esteja disponível.Restrinja o acesso à interface web vulnerável para minimizar o risco de exploração.
Evite usar software não assinado e certifique-se de que todo o software seja devidamente validado antes da execução.
Correção
DoS
OS Command Injection
Stack Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Small Business Rv Series Routers
Rv160
Rv260
Rv340
Rv345