Уязвимость BDU:2020-00558

Дата: 12.12.2019. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2020-00558.

Наименование уязвимости: Уязвимость микропрограммного обеспечения маршрутизаторов D-Link DIR-818Lx, DIR-822, DIR-822, DIR-823, DIR-859, DIR-865L, DIR-868L, DIR-868L, DIR-869, DIR-880L, DIR-890L/R, DIR-885L/R, DIR-895L/R, существующая из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы, позволяющая нарушителю выполнить произвольные команды от имени пользователя root в целевой системе.

Описание уязвимости: Уязвимость микропрограммного обеспечения маршрутизаторов D-Link DIR-818Lx, DIR-822, DIR-822, DIR-823, DIR-859, DIR-865L, DIR-868L, DIR-868L, DIR-869, DIR-880L, DIR-890L/R, DIR-885L/R, DIR-895L/R существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды от имени пользователя root в целевой системе в результате некорректной обработкой SUBSCRIBE-запроса в файле /gena.cgi
Уязвимое ПО: ПО сетевого программно-аппаратного средства D-Link Corp. DIR-818Lx до 2.05b03_Beta08 включительно | Сетевое средство, ПО сетевого программно-аппаратного средства D-Link Corp. DIR-822 до 2.03b01 включительно | Сетевое средство, ПО сетевого программно-аппаратного средства D-Link Corp. DIR-822 до 3.12b04 включительно | ПО сетевого программно-аппаратного средства D-Link Corp. DIR-823 до 1.00b06_Beta включительно | ПО сетевого программно-аппаратного средства D-Link Corp. DIR-859 до 1.06b01Beta01 включительно | ПО сетевого программно-аппаратного средства D-Link Corp. DIR-865L до 1.07b01 включительно | ПО сетевого программно-аппаратного средства D-Link Corp. DIR-868L до 1.12b04 включительно | ПО сетевого программно-аппаратного средства D-Link Corp. DIR-868L до 2.05b02 включительно | ПО сетевого программно-аппаратного средства D-Link Corp. DIR-880L до 1.08b04 включительно | ПО сетевого программно-аппаратного средства D-Link Corp. DIR-890L/R до 1.11b01_Beta01 включительно | ПО сетевого программно-аппаратного средства D-Link Corp. DIR-885L/R до 1.12b05 включительно | ПО сетевого программно-аппаратного средства D-Link Corp. DIR-895L/R до 1.12b10 включительно | ПО сетевого программно-аппаратного средства D-Link Corp. DIR-869 до 1.03b02Beta02 включительно |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 12.12.2019.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению:
Обновление программного обеспечения до более новой версии
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2019-17621.

Тип ошибки CWE: CWE-78
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://medium.com/@s1kr10s/d-link-dir-859-rce-unautenticated-cve-2019-17621-en-d94b47a15104
https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10147

ФСТЭК России

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *