#news Жаркое лето в Cisco: компания выбила очередную десяточку по CVSS. На этот раз в Secure Firewall Management Center и имплементации RADIUS в нём. Произвольные команды без аутентификации. Через окно логина. Чувствуете, куда ветер дует?
Описание уязвимости говорящее. Можно даже сказать, кричащее. В том плане, что от прочтения остаётся только покричать чаечкой. «Отсутствие надлежащей обработки введенного пользователем на этапе аутентификации, в результате чего при вводе учётных данных специально созданный запрос ведёт к выполнению команд с высокими привилегиями». Поле логина —> вредоносная команда —> RCE. Занавес. Дано: что значит С в Cisco, только неправильные ответы? Санитизация. К счастью, у нас есть отличное решение подобных маленьких неприятностей на будущее — внимание на скрин. Поле логина не должно содержать вредоносных команд, понятненько? Ну а С в Cisco значит стыдно. Стыдно должно быть.
