JGS516PE Devices

Die Schwachstelle betrifft die Geräte JGS516PE von NETGEAR – verwaltbare Netzwerk-Switches, die über eine Verwaltungsfunktion konfiguriert werden. Der Fehler liegt in einer fehlenden Zugriffskontrolle auf Funktionsebene: Einzelne Verwaltungsfunktionen des Geräts prüfen nicht ausreichend, ob der Aufrufer überhaupt zur Nutzung berechtigt ist. Während die Oberfläche bestimmte Aktionen normalerweise nur berechtigten Nutzern anbietet, lassen sich die zugehörigen Funktionen direkt ansprechen, ohne dass die erforderliche Berechtigung erzwungen wird. Dadurch kann ein Angreifer Funktionen ausführen, die ihm eigentlich verwehrt sein sollten, und auf diesem Weg geschützte Einstellungen oder Verwaltungsaktionen des Switches erreichen. Da es sich um aktive Netzwerkinfrastruktur handelt, wirkt sich eine unbefugte Konfigurationsänderung nicht nur auf das einzelne Gerät aus, sondern potenziell auf den gesamten darüber laufenden Netzwerkverkehr. Betroffen sind die genannten JGS516PE-Switches, deren Verwaltungsfunktion über das Netzwerk erreichbar ist.