Уязвимость BDU:2024-02481

Идентификатор: BDU:2024-02481.

Наименование уязвимости: Уязвимость функции setAction (/itbox_pi/networksafe.php?a=set) микропрограммного обеспечения маршрутизаторов Ruijie серии RG-EG, позволяющая нарушителю выполнить произвольные команды.

Описание уязвимости: Уязвимость функции setAction (/itbox_pi/networksafe.php?a=set) микропрограммного обеспечения маршрутизаторов Ruijie серии RG-EG cвязана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды
Уязвимое ПО: ПО сетевого программно-аппаратного средства Ruijie Networks Co., Ltd. RG-EG350 — |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 18.03.2024.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Компенсирующие меры:
— использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
— ограничение доступа к устройству из внешних сетей (Интернет);
— использование средств межсетевого экранирования с целью ограничения доступа к устройству..
Статус уязвимости: Потенциальная уязвимость
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2024-2909.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://h0e4a0r1t.github.io/2024/vulns/Ruijie%20EG350%20Easy%20Gateway%20Management%20System%20Exists%20Remote%20Code%20Execution%20Vulnerability%20networksafe.php.pdf
https://vuldb.com/?id.257977
https://vuldb.com/?submit.300368