Уязвимость BDU:2022-00475

Дата: 03.05.2021. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2022-00475.

Наименование уязвимости: Уязвимость встроенного программного обеспечения Wi-Fi роутеров NETGEAR R6700AX, R7800, R8900, R9000, RAX10, RAX120v1, RAX120v2, RAX70, RAX78, XR450, XR500, XR700, микропрограммного обеспечения LTE модема LBR1020, усилителей беспроводного сигнала EX2700, WN3000RPv2, WN3000RPv3, Wi-Fi системы Orbi LBR20, связанная с отсутствием мер по очистке входных данных, позволяющая нарушителю выполнить произвольные команды или получить несанкционированный доступ к защищаемой информации.

Описание уязвимости: Уязвимость встроенного программного обеспечения Wi-Fi роутеров NETGEAR R6700AX, R7800, R8900, R9000, RAX10, RAX120v1, RAX120v2, RAX70, RAX78, XR450, XR500, XR700, микропрограммного обеспечения LTE модема LBR1020, усилителей беспроводного сигнала EX2700, WN3000RPv2, WN3000RPv3, Wi-Fi системы Orbi LBR20 связана с отсутствием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольные команды или получить несанкционированный доступ к защищаемой информации путем отправки специально созданного запроса на UPNP-порт
Уязвимое ПО: Микропрограммный код NETGEAR NETGEAR D7800 до1.0.1.66 | ПО сетевого программно-аппаратного средства NETGEAR EX2700 до 1.0.1.68 | ПО сетевого программно-аппаратного средства NETGEAR WN3000RPv2 до 1.0.0.90 | ПО сетевого программно-аппаратного средства NETGEAR WN3000RPv3 до 1.0.2.100 | Микропрограммный код NETGEAR NETGEAR LBR1020 до 2.6.5.20 | Микропрограммный код NETGEAR NETGEAR LBR20 до 2.6.5.32 | Сетевое средство, ПО сетевого программно-аппаратного средства NETGEAR NETGEAR R6700AX до 1.0.10.110 | ПО сетевого программно-аппаратного средства NETGEAR NETGEAR R7800 до 1.0.2.86 | Сетевое средство, ПО сетевого программно-аппаратного средства NETGEAR NETGEAR R8900 до 1.0.5.38 | Сетевое средство, ПО сетевого программно-аппаратного средства NETGEAR NETGEAR R9000 до 1.0.5.38 | Сетевое средство, ПО сетевого программно-аппаратного средства NETGEAR NETGEAR RAX10 до 1.0.10.110 | Сетевое средство, ПО сетевого программно-аппаратного средства NETGEAR NETGEAR RAX120v1 до 1.2.3.28 | Сетевое средство, ПО сетевого программно-аппаратного средства NETGEAR NETGEAR RAX120v2 до 1.2.3.28 | Сетевое средство, ПО сетевого программно-аппаратного средства NETGEAR NETGEAR RAX70 до 1.0.10.110 | Сетевое средство, ПО сетевого программно-аппаратного средства NETGEAR NETGEAR RAX78 до 1.0.10.110 | Сетевое средство, ПО сетевого программно-аппаратного средства NETGEAR NETGEAR XR450 до 2.3.2.130 | Микропрограммный код NETGEAR NETGEAR XR500 до 2.3.2.130 | Сетевое средство, ПО сетевого программно-аппаратного средства NETGEAR NETGEAR XR700 до 1.0.1.46 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 03.05.2021.
CVSS 2.0: AV:L/AC:L/Au:N/C:C/I:N/A:P
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,1)

Возможные меры по устранению:
Использование рекомендаций:
https://kb.netgear.com/000064407/Security-Advisory-for-Post-Authentication-Command-Injection-Sensitive-Information-Disclosure-on-Multiple-Products-PSV-2021-0169-PSV-2021-0171
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-45602.

Тип ошибки CWE: CWE-77
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://immersivelabs.com/resources/blog/netgear-vulnerabilities-could-put-small-business-routers-at-risk/
https://kb.netgear.com/000064407/Security-Advisory-for-Post-Authentication-Command-Injection-Sensitive-Information-Disclosure-on-Multiple-Products-PSV-2021-0169-PSV-2021-0171
https://nvd.nist.gov/vuln/detail/CVE-2021-45602

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован.