Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2017-01997

Опубликовано: 11 мая 2017
Источник: fstec
CVSS2: 10
EPSS Средний

Описание

Уязвимость компонента ACL операционной системы NoviWare вызвана переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код в ходе применения ACL-изменений при помощи специально сформированных сетевых пакетов, содержащих команды операционной системы

Вендор

NoviFlow Inc.

Наименование ПО

NoviWare

Версия ПО

до 400.3.0 (NoviWare)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до версии 400.3.0 или более новой

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.34179
Средний

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2017-12787

CVSS3: 9.8
nvd
больше 8 лет назад

A network interface of the novi_process_manager_daemon service, included in the NoviWare software distribution through NW400.2.6 and deployed on NoviSwitch devices, can be inadvertently exposed if an operator attempts to modify ACLs, because of a bug when ACL modifications are applied. This could be leveraged by remote, unauthenticated attackers to gain resultant privileged (root) code execution on the switch, because incoming packet data can contain embedded OS commands, and can also trigger a stack-based buffer overflow.

github логотип

GHSA-5gx4-r4vg-49w6

CVSS3: 9.8
github
больше 3 лет назад

A network interface of the novi_process_manager_daemon service, included in the NoviWare software distribution through NW400.2.6 and deployed on NoviSwitch devices, can be inadvertently exposed if an operator attempts to modify ACLs, because of a bug when ACL modifications are applied. This could be leveraged by remote, unauthenticated attackers to gain resultant privileged (root) code execution on the switch, because incoming packet data can contain embedded OS commands, and can also trigger a stack-based buffer overflow.

EPSS

Процентиль: 97%
0.34179
Средний

10 Critical

CVSS2