Уязвимость в программном обеспечении Cisco Small Business Switches может позволить не прошедшему проверку подлинности удаленному злоумышлен…
Уязвимость в программном обеспечении Cisco Small Business Switches может позволить не прошедшему проверку подлинности удаленному злоумышленнику обойти механизм аутентификации пользователя уязвимого устройства. Уязвимость существует из-за того, что при определенных обстоятельствах уязвимое программное обеспечение включает привилегированную учетную запись пользователя, не уведомляя об этом администраторов системы. Злоумышленник может воспользоваться этой уязвимостью, используя эту учетную запись для входа в уязвимое устройство и выполнения команд с полными правами администратора. Cisco не выпустила обновления программного обеспечения, устраняющие эту уязвимость. Это уведомление будет обновлено информацией об исправленном программном обеспечении, как только оно станет доступно. Существует обходной путь для устранения этой уязвимости.
Продукт содержит жёстко запрограммированные учётные данные, такие как пароль или криптографический ключ.
https://cwe.mitre.org/data/definitions/798.html →Открыть в коллекции CWE →Злоумышленник может пробовать определённые распространённые или стандартные имена пользователей и пароли для получения доступа к системе и выполнения несанкционированных действий. Злоумышленник может применять интеллектуальный перебор с использованием пустых паролей, известных заводских учётных данных, а также словаря распространённых имён пользователей и паролей. Многие продукты поставляются с предустановленными стандартными (и, следовательно, общеизвестными) учётными данными, которые следует удалить перед вводом в производственную эксплуатацию. Забыть удалить эти стандартные учётные данные — распространённая ошибка. Кроме того, пользователи нередко выбирают очень простые (распространённые) пароли (например, «secret» или «password»), что существенно облегчает злоумышленнику задачу по сравнению с использованием полноценного перебора или даже словарной атаки.
https://capec.mitre.org/data/definitions/70.html →Открыть в коллекции CAPEC →Нет описания.
https://capec.mitre.org/data/definitions/191.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| sf200-24_firmware | * | Отслеживается |
| sf200-24fp_firmware | * | Отслеживается |
| sf200-24p_firmware | * | Отслеживается |
| sf200-48_firmware | * | Отслеживается |
| sf200-48p_firmware | * | Отслеживается |
| sf250-24_firmware | * | Отслеживается |
| sf250-24p_firmware | * | Отслеживается |
| sf250-48_firmware | * | Отслеживается |
| sf250-48hp_firmware | * | Отслеживается |
| sf300-08_firmware | * | Отслеживается |
| sf300-24_firmware | * | Отслеживается |
| sf300-24mp_firmware | * | Отслеживается |
| sf300-24p_firmware | * | Отслеживается |
| sf300-24pp_firmware | * | Отслеживается |
| sf300-48_firmware | * | Отслеживается |
| sf300-48p_firmware | * | Отслеживается |
| sf300-48pp_firmware | * | Отслеживается |
| sf302-08_firmware | * | Отслеживается |
| sf302-08mp_firmware | * | Отслеживается |
| sf302-08mpp_firmware | * | Отслеживается |