Уязвимость BDU:2025-05716

Идентификатор: BDU:2025-05716.

Наименование уязвимости: Уязвимость панели администратора микропрограммного обеспечения маршрутизаторов GL-A1300, GL-AX1800, GL-AXT1800, GL-MT3000, GL-MT2500, GL-MT6000, GL-MT1300, GL-MT300N-V2, GL-AR750S, GL-AR750, GL-AR300M и GL-B1300, позволяющая нарушителю обойти ограничения безопасности, повысить свои привилегии и получить полный контроль над устройством.

Описание уязвимости: Уязвимость панели администратора микропрограммного обеспечения маршрутизаторов GL-A1300, GL-AX1800, GL-AXT1800, GL-MT3000, GL-MT2500, GL-MT6000, GL-MT1300, GL-MT300N-V2, GL-AR750S, GL-AR750, GL-AR300M и GL-B1300 связана с недостатками процедуры авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности, повысить свои привилегии и получить полный контроль над устройством
Уязвимое ПО: Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT6000 4.6.2 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT3000 4.6.2 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT2500 4.6.2 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AX1800 4.6.2 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AXT1800 4.6.2 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-XE300 4.3.17 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AR750 4.3.17 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AR750S 4.3.17 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AR300M 4.3.17 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-AR300M16 4.3.17 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-B3000 4.5.18 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-A1300 4.5.17 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-X300B 4.5.17 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-X3000 4.4.9 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-XE3000 4.4.9 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-X750 4.3.18 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-SFT1200 4.3.18 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT1300 4.3.18 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-E750 4.3.17 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-B1300 4.3.17 | Сетевое средство, ПО сетевого программно-аппаратного средства GL Tech (HK) Ltd. GL-MT300N-V2 4.3.17 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 23.08.2024.
CVSS 2.0: AV:A/AC:L/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,7)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8)

Возможные меры по устранению:
Использование рекомендаций:
https://www.gl-inet.com/support/firmware-versions/?_gl=1*1u6mgw2*_gcl_au*MTMxMTUwOTkxMi4xNzQyOTg4MTQ2*_ga*MTM1MTM1MjMxNy4xNzQyOTg3NzQ2*_ga_34T6Q5NL0V*czE3NDc2NTMyOTEkbzMkZzEkdDE3NDc2NTMzMDgkajAkbDAkaDA..
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-45261.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/gl-inet/CVE-issues/blob/main/4.0.0/Bypassing%20Login%20Mechanism%20with%20Passwordless%20User%20Login.md