СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
01.12.2021

Уязвимость BDU:2022-01719

Уязвимость BDU:2022-01719

Идентификатор: BDU:2022-01719.

Наименование уязвимости: Уязвимость файла readycloud_control.cgi встроенного программного обеспечения маршрутизаторов NETGEAR R6400v2, NETGEAR R6700v3, NETGEAR R7000, NETGEAR R8500, NETGEAR RAX15, NETGEAR RAX20, NETGEAR RAX35v2, NETGEAR RAX38v2, NETGEAR RAX40v2, NETGEAR RAX42, NETGEAR RAX43, NETGEAR RAX45, NETGEAR RAX48, NETGEAR RAX50, NETGEAR RAX50S, NETGEAR LAX20 позволяющая нарушителю обойти аутентификацию.

Описание уязвимости: Уязвимость файла readycloud_control.cgi встроенного программного обеспечения маршрутизаторов NETGEAR R6400v2, NETGEAR R6700v3, NETGEAR R7000, NETGEAR R8500, NETGEAR RAX15, NETGEAR RAX20, NETGEAR RAX35v2, NETGEAR RAX38v2, NETGEAR RAX40v2, NETGEAR RAX42, NETGEAR RAX43, NETGEAR RAX45, NETGEAR RAX48, NETGEAR RAX50, NETGEAR RAX50S, NETGEAR LAX20 связана с обходом аутентификации посредством альтернативного имени. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти аутентификацию
Уязвимое ПО: ПО сетевого программно-аппаратного средства NETGEAR R6400v2 до 1.0.4.126 | ПО сетевого программно-аппаратного средства NETGEAR R6700v3 до 1.0.4.126 | ПО сетевого программно-аппаратного средства NETGEAR R7000 до 1.0.11.134 | ПО сетевого программно-аппаратного средства NETGEAR R8500 до 1.0.2.158 | ПО сетевого программно-аппаратного средства NETGEAR RAX15 до 1.0.10.110 | ПО сетевого программно-аппаратного средства NETGEAR RAX20 до 1.0.10.110 | ПО сетевого программно-аппаратного средства NETGEAR RAX35v2 до 1.0.10.110 | ПО сетевого программно-аппаратного средства NETGEAR RAX38v2 до 1.0.10.110 | ПО сетевого программно-аппаратного средства NETGEAR RAX40v2 до 1.0.10.110 | ПО сетевого программно-аппаратного средства NETGEAR RAX42 до 1.0.10.110 | ПО сетевого программно-аппаратного средства NETGEAR RAX43 до 1.0.10.110 | ПО сетевого программно-аппаратного средства NETGEAR RAX45 до 1.0.10.110 | ПО сетевого программно-аппаратного средства NETGEAR RAX48 до 1.0.10.110 | ПО сетевого программно-аппаратного средства NETGEAR RAX50 до 1.0.10.110 | ПО сетевого программно-аппаратного средства NETGEAR RAX50S до 1.0.10.110 | ПО сетевого программно-аппаратного средства NETGEAR LAX20 до 1.1.6.34 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 01.12.2021.
CVSS 2.0: AV:A/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Использование рекомендаций:
https://kb.netgear.com/000064722/Security-Advisory-for-Sensitive-Information-Disclosure-on-Some-Routers-and-Fixed-Wireless-Products-PSV-2021-0325.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2022-27645. ZDI-22-522.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://www.zerodayinitiative.com/advisories/ZDI-22-522/
https://kb.netgear.com/000064722/Security-Advisory-for-Sensitive-Information-Disclosure-on-Some-Routers-and-Fixed-Wireless-Products-PSV-2021-0325
https://www.cybersecurity-help.cz/vdb/SB2022032410

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: