Уязвимость BDU:2024-00401

Идентификатор: BDU:2024-00401.
Наименование уязвимости: Уязвимость микропрограммного обеспечения маршрутизаторов GL-A1300, GL-AX1800, GL-AXT1800, GL-MT3000, GL-MT2500, GL-MT6000, GL-MT1300, GL-MT300N-V2, GL-AR750S, GL-AR750, GL-AR300M и GL-B1300, позволяющая нарушителю обойти процедуру аутентификации и получить несанкционированный доступ к защищаемой информации.
Описание уязвимости: Уязвимость микропрограммного обеспечения маршрутизаторов GL-A1300, GL-AX1800, GL-AXT1800, GL-MT3000, GL-MT2500, GL-MT6000, GL-MT1300, GL-MT300N-V2, GL-AR750S, GL-AR750, GL-AR300M и GL-B1300 связана с недостатками процедуры аутентификации при обработке lua-скриптов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти процедуру аутентификации и получить несанкционированный доступ к защищаемой информации
Уязвимое ПО: Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-A1300 4.4.6 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AX1800 4.4.6 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AXT1800 4.4.6 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT3000 4.4.6 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT2500 4.4.6 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT6000 4.5.0 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT1300 4.3.7 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT300N-V2 4.3.7 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AR750S 4.3.7 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AR750 4.3.7 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AR300M 4.3.7 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-B1300 4.3.7 |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 15.12.2023.
CVSS 2.0: AV:A/AC:L/Au:N/C:P/I:P/A:P
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)
Возможные меры по устранению:
Использование рекомендаций:
Для GL-A1300:
https://dl.gl-inet.com/?model=a1300&type=beta
Для GL-AX1800:
https://dl.gl-inet.com/?model=ax1800&type=beta
Для GL-AXT1800:
https://dl.gl-inet.com/?model=axt1800&type=beta
Для GL-MT3000:
https://dl.gl-inet.com/?model=mt3000&type=beta
Для GL-MT2500:
https://dl.gl-inet.com/?model=mt2500&type=beta
Для GL-MT1300:
https://dl.gl-inet.com/?model=mt1300&type=beta
Для GL-MT300N-V2:
https://dl.gl-inet.com/?model=mt300n-v2&type=beta
Для GL-MT6000:
https://dl.gl-inet.com/?model=mt6000
Для GL-B1300:
https://dl.gl-inet.com/?model=b1300&type=beta
Для GL-AR300M:
https://dl.gl-inet.com/?model=ar300m&type=beta
Для GL-AR750:
https://dl.gl-inet.com/?model=ar750&type=beta
Для GL-AR750S:
https://dl.gl-inet.com/?model=ar750s&type=beta.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-50919.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/gl-inet/CVE-issues/blob/main/4.0.0/Authentication-bypass.md
https://vuldb.com/ru/?id.250553
https://dl.gl-inet.com/?model=a1300&type=beta
https://dl.gl-inet.com/?model=ax1800&type=beta
https://dl.gl-inet.com/?model=axt1800&type=beta
https://dl.gl-inet.com/?model=mt3000&type=beta
https://dl.gl-inet.com/?model=mt2500&type=beta
https://dl.gl-inet.com/?model=mt1300&type=beta
https://dl.gl-inet.com/?model=mt300n-v2&type=beta
https://dl.gl-inet.com/?model=mt6000
https://dl.gl-inet.com/?model=b1300&type=beta
https://dl.gl-inet.com/?model=ar300m&type=beta
https://dl.gl-inet.com/?model=ar750&type=beta
https://dl.gl-inet.com/?model=ar750s&type=beta



