СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Уязвимости
ФСТЭК России
04.08.2024
#Dev#ИБ#Инфра

Уязвимость BDU:2024-06038

Уязвимость BDU:2024-06038

Идентификатор: BDU:2024-06038.

Наименование уязвимости: Уязвимость функции sslvpn_config_mod файла /vpn/list_service_manage.php веб-интерфейса встроенного программного обеспечения маршрутизаторов Raisecom MSG1200, MSG2100E, MSG2200 и MSG2300, позволяющая нарушителю выполнить произвольные команды.

Описание уязвимости: Уязвимость функции sslvpn_config_mod файла /vpn/list_ip_network.php веб-интерфейса встроенного программного обеспечения маршрутизаторов Raisecom MSG1200, MSG2100E, MSG2200 и MSG2300 связана с непринятием мер по нейтрализации специальных элементов, используемых в команде при обработке параметров template и stylenum. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды
Уязвимое ПО: Сетевое средство, Сетевое программное средство Raisecom Raisecom MSG1200 3.90 | Сетевое средство, Сетевое программное средство Raisecom Raisecom MSG2100E 3.90 | Сетевое средство, ПО сетевого программно-аппаратного средства Raisecom Raisecom MSG2200 3.90 | Сетевое средство, ПО сетевого программно-аппаратного средства Raisecom Raisecom MSG2300 3.90 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 04.08.2024.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Компенсирующие меры:
— использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам;
— ограничение доступа из внешних сетей (Интернет);
— отключение функции удаленного управления для снижения риска несанкционированного доступа;
— использование сложных и длинных паролей;
— сегментирование сети;
— ограничение доступа к административному интерфейсу маршрутизатора;
— использование протокола HTTPS для поддержки шифрования в целях повышения безопасности;
— использование виртуальных частных сетей для организации удаленного доступа (VPN)..
Статус уязвимости: Потенциальная уязвимость
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2024-7468.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/h0e4a0r1t/h0e4a0r1t.github.io/blob/master/2024/sQrromK7x42JbLgY/Command%20Injection%20Vulnerability%20in%20RAISECOM%20Gateway%20Devices-list_service_manage.php.pdf
https://vuldb.com/?id.273561

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: