Уязвимость BDU:2025-02275

Идентификатор: BDU:2025-02275.

Наименование уязвимости: Уязвимость функции set_qos() сценария internet.cgi микропрограммного обеспечения маршрутизаторов Wavlink AC3000 (WL-WN533A8), позволяющая нарушителю выполнить произвольные команды.

Описание уязвимости: Уязвимость функции set_qos() сценария internet.cgi микропрограммного обеспечения маршрутизаторов Wavlink AC3000 (WL-WN533A8) связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнить произвольные команды путем отправки специально сформированных HTTP-запросов
Уязвимое ПО: Сетевое средство, ПО сетевого программно-аппаратного средства WAVLINK TECHNOLOGY Ltd. Wavlink AC3000 (WL-WN533A8) 5030.210505 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 14.01.2025.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению:
Компенсирующие меры:
— использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам;
— ограничение доступа из внешних сетей (Интернет);
— сегментирование сети для ограничения доступа к уязвимому устройству;
— использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости;
— использование виртуальных частных сетей для организации удаленного доступа (VPN)..
Статус уязвимости: Потенциальная уязвимость
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2024-39768.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://talosintelligence.com/vulnerability_reports/TALOS-2024-2022
https://github.com/advisories/GHSA-wp3h-cvvj-q2gw