Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:L/Au:S/C:C/I:C/A:C)
Производитель ПО
Наименование ПО
Cisco Small Business
(1.1.4.4, Small Business)
Описание
Уязвимость в веб-интерфейсе управления коммутаторов Cisco Small Business 220 Series Smart Switches, связанная с недостаточной проверкой пользовательских входных данных, позволяет злоумышленникам, прошедшим аутентификацию и действующим удаленно, выполнить произвольные shell-команды с привилегиями суперпользователя, отправив специально сформированный запрос веб-интерфейсу. Для отправки запроса атакующему необходимо наличие действующей сессии входа в веб-интерфейс управления с привилегиями пользователя уровня 15. В зависимости от настройки коммутатора запрос должен быть отправлен через HTTP или HTTPS.
Как исправить
Используйте рекомендации производителя:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-inject
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190806-sb220-inject
Ссылки
Источник: CVE
Наименование: CVE-2019-1914
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1914
Наименование: CVE-2019-1914
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-1914