PT-2022-2470 · Cisco · Cisco Small Business Rv345+3
Dcmtruman
+1
·
Publicado
2022-05-04
·
Atualizado
2023-07-24
·
CVE-2022-20799
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Roteadores Cisco Small Business RV340 e RV345 (versões afetadas não especificadas)
Roteadores Cisco Small Business RV340W, RV345 e R345P (versões afetadas não especificadas)
Descrição
O problema está relacionado à validação insuficiente das entradas fornecidas pelo usuário na interface de gerenciamento baseada na web, permitindo que um invasor remoto autenticado injete e execute comandos arbitrários no sistema operacional subjacente de um dispositivo afetado. Um invasor poderia explorar essa vulnerabilidade enviando entradas maliciosas a um dispositivo afetado, potencialmente executando comandos arbitrários no sistema operacional Linux subjacente. O invasor precisaria de credenciais válidas de administrador no dispositivo afetado para explorar a vulnerabilidade.
Recomendações
Para os roteadores Cisco Small Business RV340 e RV345, restrinja o acesso à interface de gerenciamento baseada na web até que uma correção esteja disponível.
Para os roteadores Cisco Small Business RV340W, RV345 e R345P, considere desativar o acesso remoto à interface de gerenciamento como uma solução temporária.
Evite usar a interface de gerenciamento baseada na web vulnerável até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
OS Command Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Cisco Small Business R345P
Cisco Small Business Rv340
Cisco Small Business Rv340W
Cisco Small Business Rv345