Уязвимость BDU:2025-05698

Идентификатор: BDU:2025-05698.

Наименование уязвимости: Уязвимость панели управления микропрограммного обеспечения маршрутизаторов GL-A1300, GL-AX1800, GL-AXT1800, GL-MT3000, GL-MT2500, GL-MT6000, GL-MT1300, GL-MT300N-V2, GL-AR750S, GL-AR750, GL-AR300M и GL-B1300, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации , выполнить произвольный код и получить полный контроль над устройством.

Описание уязвимости: Уязвимость панели управления микропрограммного обеспечения маршрутизаторов GL-A1300, GL-AX1800, GL-AXT1800, GL-MT3000, GL-MT2500, GL-MT6000, GL-MT1300, GL-MT300N-V2, GL-AR750S, GL-AR750, GL-AR300M и GL-B1300 связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации , выполнить произвольный код и получить полный контроль над устройством путем загрузки специально созданных вредоносных файлов
Уязвимое ПО: Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT6000 4.6.2 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT3000 4.6.2 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT2500 4.6.2 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AX1800 4.6.2 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AXT1800 4.6.2 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-XE300 4.3.17 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AR750 4.3.17 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AR750S 4.3.17 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AR300M 4.3.17 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AR300M16 4.3.17 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-B3000 4.5.18 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-A1300 4.5.17 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-X300B 4.5.17 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-X3000 4.4.9 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-XE3000 4.4.9 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-X750 4.3.18 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-SFT1200 4.3.18 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT1300 4.3.18 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-E750 4.3.17 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-B1300 4.3.17 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT300N-V2 4.3.17 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 23.08.2024.
CVSS 2.0: AV:A/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,7)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8)

Возможные меры по устранению:
Использование рекомендаций:
https://www.gl-inet.com/support/firmware-versions/?_gl=1*1u6mgw2*_gcl_au*MTMxMTUwOTkxMi4xNzQyOTg4MTQ2*_ga*MTM1MTM1MjMxNy4xNzQyOTg3NzQ2*_ga_34T6Q5NL0V*czE3NDc2NTMyOTEkbzMkZzEkdDE3NDc2NTMzMDgkajAkbDAkaDA..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-45260.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/advisories/GHSA-9m3x-q77m-pwhx
https://github.com/gl-inet/CVE-issues/blob/main/4.0.0/Unauthorized%20Access%20to%20File%20Download%20and%20Upload%20Interfaces.md