СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
02.02.2024
#Dev#ИБ#Инфра

Уязвимость BDU:2024-01793

Уязвимость BDU:2024-01793

Идентификатор: BDU:2024-01793.

Наименование уязвимости: Уязвимость функций get_system_log и get_crash_log модуля logread микропрограммного обеспечения маршрутизаторов GL.iNet A1300, AX1800, AXT1800, MT3000, MT2500, MT6000, MT1300, MT300N-V2, AR750S, AR750, AR300M, B1300, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость функций get_system_log и get_crash_log модуля logread микропрограммного обеспечения маршрутизаторов GL.iNet A1300, AX1800, AXT1800, MT3000, MT2500, MT6000, MT1300, MT300N-V2, AR750S, AR750, AR300M, B1300 существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код
Уязвимое ПО: Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-A1300 4.4.6 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AX1800 4.4.6 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AXT1800 4.4.6 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT3000 4.4.6 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT2500 4.4.6 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT6000 4.5.0 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT1300 4.3.7 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT300N-V2 4.3.7 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AR750S 4.3.7 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AR750 4.3.7 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AR300M 4.3.7 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-B1300 4.3.7 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 02.02.2024.
CVSS 2.0: AV:L/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению:
Использование рекомендаций:
Для GL-B1300:
https://dl.gl-inet.com/router/b1300/

Для GL-MT300N-V2:
https://dl.gl-inet.com/router/mt300n-v2/

Для GL-A1300:
https://dl.gl-inet.com/router/a1300/

Для GL-AX1800:
https://dl.gl-inet.com/router/ax1800/

Для GL-AXT1800:
https://dl.gl-inet.com/router/axt1800/

Для GL-MT3000:
https://dl.gl-inet.com/router/mt3000/

Для GL-MT2500:
https://dl.gl-inet.com/router/mt2500/

Для GL-MT6000:
https://dl.gl-inet.com/router/mt6000/

Для GL-MT1300:
https://dl.gl-inet.com/router/mt1300/

Для GL-AR750S:
https://dl.gl-inet.com/router/ar750s/

Для GL-AR300M:
https://dl.gl-inet.com/router/ar300m/

Для GL-AR750:
https://dl.gl-inet.com/router/ar750/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-50445.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://vuldb.com/?id.249122
http://packetstormsecurity.com/files/176708/GL.iNet-Unauthenticated-Remote-Command-Execution.html
https://github.com/gl-inet/CVE-issues/blob/main/4.0.0/Using%20Shell%20Metacharacter%20Injection%20via%20API.md

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: