A Cisco lançou na última quarta-feira (03) patches para resolver oito vulnerabilidades de segurança, três das quais podem ser exploradas por um invasor não autenticado para obter execução remota de código (RCE) ou causar uma condição de negação de serviço (DoS) em dispositivos afetados.

A mais crítica das falhas afeta os roteadores Cisco Small Business RV160, RV260, RV340 e RV345 Series. Rastreado como CVE-2022-20842 (pontuação CVSS: 9,8), a falha decorre de uma validação insuficiente da entrada fornecida pelo usuário para a interface de gerenciamento Web dos dispositivos.

“Um invasor pode explorar essa vulnerabilidade enviando uma entrada HTTP criada para um dispositivo afetado”, disse a Cisco em um comunicado. “Uma exploração bem-sucedida pode permitir que o invasor execute código arbitrário como usuário root no sistema operacional subjacente ou faça com que o dispositivo seja recarregado, resultando em uma condição de DoS”.

A empresa não ofereceu soluções alternativas para remediar os problemas, acrescentando que não há evidências de que essas vulnerabilidades sejam exploradas ativamente. Dito isto, recomenda-se que os clientes apliquem rapidamente as atualizações.