Cisco не будет исправлять XSS-баг в старых роутерах - «Новости»

Компания Cisco выпустила предупреждение об XSS-уязвимости в маршрутизаторах для малого бизнеса серии RV. Так как поддержка этих устройств уже прекращена, патчей ждать не стоит.

Уязвимость отслеживается под идентификатором CVE-2024-20362 и может использоваться удаленно и без аутентификации. Она затрагивает маршрутизаторы моделей RV016, RV042, RV042G, RV082, RV320 и RV325, которые были сняты с производства и более не получают обновлений и исправлений.

Проблема связана с недостаточной валидацией в веб-интерфейсе затронутых продуктов, что позволяет злоумышленникам проводить XSS-атаки, убедив пользователя посетить вредоносную страницу. В итоге это может привести к выполнению скриптов или утечке данных.

Хотя Cisco заявляет, что специалистам компании неизвестно об эксплуатации этой уязвимости хакерами, обходных путей устранения ошибки не существует. Поэтому пользователям рекомендуется как можно скорее перейти на другие продукты, которые по-прежнему поддерживаются производителем.

Также компания исправила ряд других уязвимостей, включая серьезный баг в Nexus Dashboard Fabric Controller (NDFC), который позволял неавторизованным удаленным злоумышленникам читать произвольные файлы.

Ошибка получила идентификатор CVE-2024-20348 и была связана с неаутентифицированным веб-сервером инициализации, который мог получать прямые запросы от удаленных атакующих, что позволяло им читать конфиденциальные файлы в PnP-контейнере, открывая возможность для дальнейших атак на инфраструктуру PnP.

Дефект затрагивал NDFC версии 12.1.3b с конфигурацией по умолчанию. Версии NDFC 12.1.2 и более ранние, а также 12.2.1 не пострадали.

Помимо этого Cisco устранила ошибки в TelePresence Management Suite, Nexus Dashboard, Nexus Dashboard Orchestrator, Identity Services Engine (ISE), Enterprise Chat and Email, Unified Communications Manager IM & Presence Service и Emergency Responder.