Cisco ha advertit de dues vulnerabilitats de seguretat que afecten els routers Small Business RV016, RV042, RV042G i RV082 end-of-life (EoL) i que, segons afirma, no se solucionaran, encara reconeixent l’existència de la prova de concepte d’un exploit públic.

Els problemes tenen el seu origen en la interfície de gestió basada en la web del router, la qual cosa permet a un atacant remot eludir l’autenticació o executar ordres malicioses al sistema operatiu subjacent.

El més greu dels dos és CVE-2023-20025 (puntuació CVSS: 9,0), que és el resultat d’una validació incorrecta de l’entrada de l’usuari en els paquets HTTP entrants.

Un actor d’amenaces podria aprofitar-ho de manera remota enviant una sol·licitud HTTP especialment dissenyada a la interfície de gestió basada en el web dels routers vulnerables per saltar-se l’autenticació i obtenir permisos elevats.

“Cisco no ha publicat ni publicarà actualitzacions de programari per solucionar les vulnerabilitats”, afirma l’empresa. “Els routers han entrat en el procés d’end-of-life (fi de vida útil)”, va afegir.