Уязвимость BDU:2022-00478

Идентификатор: BDU:2022-00478.

Наименование уязвимости: Уязвимость встроенного программного обеспечения Wi-Fi роутеров NETGEAR D6200, D7000, R6020, R6080, R6050, JR6150, R6120, R6220, R6230, R6260, R6800, R6900v2, R6700v2, R7450, AC2100, AC2400, AC2600, RBK40, RBR40, RBS40, RBK20, RBR20, RBS20, RBK50, RBR50, RBS50, RBS50Y, WNR2020, связанная с неверным управлением генерацией кода, позволяющая нарушителю выполнить атаку на стороне сервера (Server Side Include Injection (SSI)).

Описание уязвимости: Уязвимость встроенного программного обеспечения Wi-Fi роутеров NETGEAR D6200, D7000, R6020, R6080, R6050, JR6150, R6120, R6220, R6230, R6260, R6800, R6900v2, R6700v2, R7450, AC2100, AC2400, AC2600, RBK40, RBR40, RBS40, RBK20, RBR20, RBS20, RBK50, RBR50, RBS50, RBS50Y, WNR2020 связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю выполнить атаку на стороне сервера (Server Side Include Injection (SSI))
Уязвимое ПО: ПО сетевого программно-аппаратного средства NETGEAR R6220 до 1.1.0.100 | ПО сетевого программно-аппаратного средства NETGEAR R6230 до 1.1.0.100 | ПО сетевого программно-аппаратного средства NETGEAR D7000 до 1.0.1.78 | ПО сетевого программно-аппаратного средства NETGEAR R6050 до 1.0.1.26 | ПО сетевого программно-аппаратного средства NETGEAR JR6150 до 1.0.1.26 | ПО сетевого программно-аппаратного средства NETGEAR R6120 до 1.0.0.66 | ПО сетевого программно-аппаратного средства NETGEAR D6200 до 1.1.00.38 | ПО сетевого программно-аппаратного средства NETGEAR WNR2020 до 1.1.0.62 | ПО сетевого программно-аппаратного средства NETGEAR R6260 до 1.1.0.78 | ПО сетевого программно-аппаратного средства NETGEAR R6800 до 1.2.0.76 | ПО сетевого программно-аппаратного средства NETGEAR R6900v2 до 1.2.0.76 | ПО сетевого программно-аппаратного средства NETGEAR R6700v2 до 1.2.0.76 | ПО сетевого программно-аппаратного средства NETGEAR R7450 до 1.2.0.76 | ПО сетевого программно-аппаратного средства NETGEAR AC2100 до 1.2.0.76 | ПО сетевого программно-аппаратного средства NETGEAR AC2400 до 1.2.0.76 | ПО сетевого программно-аппаратного средства NETGEAR AC2600 до 1.2.0.76 | ПО сетевого программно-аппаратного средства NETGEAR R6080 до 1.0.0.48 | ПО сетевого программно-аппаратного средства NETGEAR RBR20 до 2.5.1.16 | ПО сетевого программно-аппаратного средства NETGEAR RBK40 до 2.5.1.16 | ПО сетевого программно-аппаратного средства NETGEAR RBR40 до 2.5.1.16 | ПО сетевого программно-аппаратного средства NETGEAR RBS40 до 2.5.1.16 | ПО сетевого программно-аппаратного средства NETGEAR RBK20 до 2.5.1.16 | ПО сетевого программно-аппаратного средства NETGEAR RBS20 до 2.5.1.16 | ПО сетевого программно-аппаратного средства NETGEAR RBK50 до 2.5.1.16 | ПО сетевого программно-аппаратного средства NETGEAR RBR50 до 2.5.1.16 | ПО сетевого программно-аппаратного средства NETGEAR RBS50 до 2.5.1.16 | ПО сетевого программно-аппаратного средства NETGEAR Outdoor Satellite (RBS50Y) до 2.6.1.40 | ПО сетевого программно-аппаратного средства NETGEAR R6020 до 1.0.0.48 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 25.09.2021.
CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:C/A:N
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)

Возможные меры по устранению:
Использование рекомендаций:
https://kb.netgear.com/000064067/Security-Advisory-for-Server-Side-Injection-on-Some-Routers-and-WiFi-Systems-PSV-2019-0141.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-45657.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://kb.netgear.com/000064067/Security-Advisory-for-Server-Side-Injection-on-Some-Routers-and-WiFi-Systems-PSV-2019-0141
https://nvd.nist.gov/vuln/detail/CVE-2021-45657