PT-2022-2298 · Cisco · Rv345+4
Benjamin Grap
+2
·
Publicado
2022-02-02
·
Atualizado
2024-07-24
·
CVE-2022-20701
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Roteadores Cisco Small Business RV Series em versões anteriores à versão corrigida
Roteadores Cisco Small Business RV160, RV260, RV340 e RV345 Series (versões afetadas não especificadas)
Descrição
O problema diz respeito a uma vulnerabilidade de estouro de buffer baseada em pilha e a um procedimento de autorização insuficiente na interface web dos roteadores da série Cisco Small Business RV. Isso poderia permitir que um invasor remoto elevasse privilégios ao nível de root, executasse código arbitrário, elevasse privilégios, executasse comandos arbitrários, contornasse proteções de autenticação e autorização, baixasse e executasse software não assinado ou causasse negação de serviço (DoS).
Recomendações
Para os roteadores da série Cisco Small Business RV, atualize para uma versão que inclua a correção para esta vulnerabilidade.
Para os roteadores das séries Cisco Small Business RV160, RV260, RV340 e RV345, aplique o patch recomendado ou atualize para mitigar o risco de exploração.
Como solução alternativa temporária, considere restringir o acesso à interface web vulnerável até que um patch esteja disponível.
Evite usar software não assinado e certifique-se de que mecanismos adequados de autenticação e autorização estejam em vigor para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Memory Corruption
Missing Authorization
Stack Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Small Business Rv Series Routers
Rv160
Rv260
Rv340
Rv345