Компания Cisco рекомендует владельцам маршрутизаторов Small Business RV с истекшим сроком эксплуатации перейти на более новые модели. Критическая уязвимость удаленного выполнения кода на старых устройствах не будет исправлена.
Уязвимость, отслеживаемая как CVE-2022-20825, существует из-за недостаточной проверки пользовательского ввода входящих HTTP-пакетов на затронутых устройствах. Злоумышленник, отправив специально созданный запрос в веб-интерфейс управления, получит доступ к выполнению команды с привилегиями суперпользователя.
Уязвимость затрагивает четыре модели серии RV для малого бизнеса, а именно брандмауэр RV110W Wireless-N VPN, маршрутизатор RV130 VPN, многофункциональный маршрутизатор RV130W Wireless-N и маршрутизатор RV215W Wireless-N VPN.
Эта ошибка затрагивает только устройства с включенным веб-интерфейсом удаленного управления для подключений по глобальной сети. Хотя функция удаленного управления не включена в конфигурации по умолчанию, даже быстрый поиск с помощью Shodan может обнаружить незащищенные устройства.