Уязвимости позволяют выполнить произвольный код с правами суперпользователя и загрузить произвольные файлы.

Компания Cisco предупредилао доступности эксплоитов для трех уязвимостей в устройствах Cisco Small Business 220 Series Smart Switches, исправленных в начале августа.

Одна из них является проблемой удаленного выполнения кода ( CVE-2019-1913), а вторая — уязвимостью обхода аутентификации ( CVE-2019-1912). Удаленный неавторизованный злоумышленник может проэксплуатировать их для выполнения произвольного кода с правами суперпользователя и загрузки произвольных файлов. Третья уязвимость ( CVE-2019-1914) потенциально может позволить аутентифицированным удаленным злоумышленникам осуществить атаку с внедрением команд.

Компания также исправила более 30 критических и опасных уязвимостей, обнаруженных в ее программном обеспечении Integrated Management Controller (IMC) и Cisco Unified Computing System (UCS). Четыре из них ( CVE-2019-1938,CVE-2019-1974,CVE-2019-1937иCVE-2019-1935) получили оценку 9,8 балла по шкале CVSS v3.0. Их эксплуатация позволяет неавторизованным удаленным злоумышленникам осуществлять простые атаки с помощью специально сформированных вредоносных запросов, а также путем использования дефолтных учетных данных для авторизации на уязвимом устройстве.

Пользователям рекомендуется обновить программы Integrated Management Controller Supervisor до версии 2.2.1.0 и выше, UCS Director до версии 6.7.2.0 и более поздних (рекомендуется: 6.7.3.0) и UCS Director Express for Big Data до версии 3.7.2.0 и выше (рекомендуется: 3.7.3.0).