سیسکو سه آسیب پذیری کدگذاری از راه دور را که براساس رابطهای مدیریت وب با شدت بحرانی تأثیر میگذارد با نمره پایه CVSS 9.8 پس از ارزیابی آنها به عنوان بالا با نمره پایه 8.8، زمانی که این توصیهها برای اولین بار در 15 مه منتشر شد، ارتقاء داد.

مدیر شبکه سیسکو (PI) و مدیر برنامه ریزی انحصاری سیسکو (EPN)، ابزار مدیریت شبکه هستند که توسط مدیران «برای تهیه، نظارت، بهینه سازی و رفع هر دو دستگاه سیمی و بی سیم» استفاده می شود.

بر اساس توصیه های امنیتی سیسکو که در تاریخ 15 ماه مه منتشر شده و به روز شده در تاریخ 16 می، آسیب پذیری های بحرانی وجود دارد "چرا که نرمافزار به درستی ورودی کاربر را تأیید نمیکند" و می تواند توسط مهاجمان بالقوه از راه دور مورد سوء استفاده قرار گیرد تا توانایی اجرای کد دلخواه را با "root امتیازات سطح در سیستم عامل پایه. "

خطرناک ترین مسئله ای است که CVE-2019-1821 دنبال می کند که می تواند توسط یک هکر آموزش دیده غیرقابل شناسایی که دسترسی به شبکه را به رابط مدیریتی آسیب دیده است مورد استفاده قرار گیرد. "
 
دو معضل دیگر که به شرح زیر CVE-2019-1822 و CVE-2019-1823 ردیابی می شوند، کمتر مورد توجه قرار می گیرند، زیرا آنها می خواهند "نیاز به یک مهاجم دارای اعتبار معتبر برای تأیید اعتبار به رابط کاربری اداری تحت تاثیر قرار گیرد".

همانطور که توسط مشاور امنیت سیسکو بیشتر توضیح داده شده است:

این آسیب پذیری ها وجود دارد زیرا نرمافزار نادرست ورودی کاربر را تأیید می کند. یک مهاجم می تواند با ارسال یک فایل مخرب به رابط وب اداری از این آسیب پذیری ها بهره برداری کند.

سه آسیب پذیری بر نسخه های نرم افزاری زیر تاثیر می گذارد: نرم افزار سیسکو PI نرم افزار قبل از 3.4.1، 3.5 و 3.6 منتشر می شود و EPN Manager قبل از 3.0.1 منتشر می شود.

در حالی که هیچ راه حل هایی برای این آسیب پذیری وجود ندارد، سیسکو نسخه های نرم افزاری رایگان منتشر کرده است که می تواند برای اصلاح نقص های نرم افزاری استفاده شود.

شدت آسیب پذیری های تزریق SQL
نرم افزار مدیریت رابط مبتنی بمعیار دیگر اعتبار نامعتبر ورودی به عنوان شدت بالا و رجیستر شده به عنوان CVE-2019-1824 و CVE-20ر وب نیز تحت تاثیر دو 19-1825 است که "می تواند اجازه می دهد یک مهاجم از راه دور تایید شده برای اجرای پرس و جو دلخواه SQL. "

این مسائل مربوط به نرم افزار با نمرات پایه CVSS 8.1 می تواند توسط مهاجمان احتمالی توسط دستورات مخرب SQL ارسال شده به رابط های مدیریت وب آسیب پذیر با استفاده از درخواست های HTTP ساخته شده خاص مورد سوء استفاده قرار گیرد. پس از بهره برداری موفقیت آمیز، مهاجمان می توانند "ورودی ها را در برخی از جداول پایگاه داده مشاهده یا اصلاح کنند، که بر تمامیت داده ها تاثیر می گذارد".

محصولاتی که توسط مهاجمان توسط سوءاستفاده از این دو مسئله نرمافزار مورد سوء استفاده قرار میگیرند، نسخههای Cisco PI Software Releases قبل از 3.4.1، 3.5 و 3.6 است و EPN Manager قبل از نسخه 3.0.1 منتشر میشود.