Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2017-02233

Опубликовано: 08 фев. 2017
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость компонента HTTP Web-Management программного обеспечения устройств Edgewater Networks Edgemarc связана с отсутствием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольную команду, используя скрытую страницу как оболочку для выполнения команд

Вендор

Edgewater Networks

Наименование ПО

Edgemarc

Версия ПО

4550 (Edgemarc)
4552 (Edgemarc)
4601 (Edgemarc)
4700 (Edgemarc)
4750 (Edgemarc)
4800 (Edgemarc)
4806 (Edgemarc)
4808 (Edgemarc)
7301 (Edgemarc)
7400 (Edgemarc)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

До выпуска разработчиками обновления с исправлением уязвимости, временным решением является использование сторонних средств защиты или ограничение доступа к устройству

Статус уязвимости

Подтверждена в ходе исследований

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.3236
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2017-6079

CVSS3: 9.8
nvd
больше 8 лет назад

The HTTP web-management application on Edgewater Networks Edgemarc appliances has a hidden page that allows for user-defined commands such as specific iptables routes, etc., to be set. You can use this page as a web shell essentially to execute commands, though you get no feedback client-side from the web application: if the command is valid, it executes. An example is the wget command. The page that allows this has been confirmed in firmware as old as 2006.

github логотип

GHSA-4w4r-mv2h-54x5

CVSS3: 9.8
github
больше 3 лет назад

The HTTP web-management application on Edgewater Networks Edgemarc appliances has a hidden page that allows for user-defined commands such as specific iptables routes, etc., to be set. You can use this page as a web shell essentially to execute commands, though you get no feedback client-side from the web application: if the command is valid, it executes. An example is the wget command. The page that allows this has been confirmed in firmware as old as 2006.

EPSS

Процентиль: 97%
0.3236
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2