Cisco SPA100 系列多个漏洞
high Nessus 插件 ID 129982
语言:
简介
远程设备缺少供应商提供的安全修补程序。描述
远程 Cisco SPA100 系列设备受到多个漏洞的影响:- 包括多个远程代码执行漏洞。经认证的攻击者可造成堆栈溢出,导致 Cisco SPA 112/122 设备控制流程变更。(CVE-2019-15240、CVE-2019-15241、 CVE-2019-15242、CVE-2019-15243、CVE-2019-15244、CVE-2019-15245、CVE-2019-15246、CVE-2019-15247、CVE-2019-15248、CVE-2019-15249、CVE-2019-15250、CVE-2019-15251、CVE-2019-15252) - 多个跨站脚本漏洞。经认证的攻击者可在 Cisco SPA 112/122 设备上注入 javascript。(CVE-2019-12702, CVE-2019-12703) - 任意文件泄露漏洞。未经认证的攻击者可读取设备上的任何文件,并提升本地权限。(CVE-2019-12704) - 多个权限升级漏洞。经认证的攻击者可泄露管理员密码哈希,以升级本地权限。(CVE-2019-12708、CVE-2019-15257) - 拒绝服务漏洞。经认证的攻击者可使用畸形请求导致 Web 服务崩溃。(CVE-2019-12258)解决方案
升级 Cisco SPA100 系列固件版本至 1.4.1 SR5 或更高版本。另见
https://www.tenable.com/security/research/tra-2019-44
http://www.nessus.org/u?36518fa8
http://www.nessus.org/u?88204172
http://www.nessus.org/u?50f480f5
http://www.nessus.org/u?c85940fa
插件详情
严重性: High
ID: 129982
文件名: cisco-sa-20191016-spa-rce.nasl
版本: 1.6
类型: remote
系列: CISCO
发布时间: 2019/10/17
最近更新时间: 2022/4/11
配置: 启用全面检查
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 5.2
时间分数: 3.8
矢量: CVSS2#AV:A/AC:L/Au:S/C:P/I:P/A:P
CVSS 分数来源: CVE-2019-15252
CVSS v3
风险因素: High
基本分数: 8
时间分数: 7
矢量: CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: x-cpe:/h:cisco:spa, x-cpe:/o:cisco:spa
必需的 KB 项: installed_sw/Cisco SPA ATA
易利用性: No known exploits are available
漏洞发布日期: 2019/10/16
参考资料信息
CVE: CVE-2019-12702, CVE-2019-12703, CVE-2019-12704, CVE-2019-15240, CVE-2019-15241, CVE-2019-15242, CVE-2019-15243, CVE-2019-15244, CVE-2019-15245, CVE-2019-15246, CVE-2019-15247, CVE-2019-15248, CVE-2019-15249, CVE-2019-15250, CVE-2019-15251, CVE-2019-15252, CVE-2019-15257, CVE-2019-15258