Уязвимость BDU:2024-02884

Идентификатор: BDU:2024-02884.

Наименование уязвимости: Уязвимость микропрограммного обеспечения маршрутизаторов GL.iNet GL-AX1800, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации или выполнить произвольный код.

Описание уязвимости: Уязвимость микропрограммного обеспечения маршрутизаторов GL.iNet GL-AX1800 связана с неверным ограничением имени пути к каталогу с ограниченным доступом в результате отправки запроса к конечной точке upload_file, указывая вредоносный файл в параметре «file» и целевой каталог в параметре «path». Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации или выполнить произвольный код
Уязвимое ПО: Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AX1800 от 4.0.0 до 4.5.0 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 23.01.2024.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Использование рекомендаций:
https://dl.gl-inet.com/router/ax1800/.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-47464.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/HadessCS/CVE-2023-47464
https://hadess.io/gl-inet-gl-ax1800-critical-vulnerability-cve-2023-47464/
https://dl.gl-inet.com/release/router/stable/ax1800/4.5.0