Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2017-02321

Опубликовано: 15 сент. 2017
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость микропрограммного обеспечения радиорелейных систем ZTE серии NR8000, связана с процедурой десериализации объектов Java при обработке запросов службой Java RMI (Remote Method Invocation) с использованием библиотеки Apache Commons Collections (ACC). Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, выполнить произвольный код, отправив специально сформированный RMI-запрос

Вендор

ZTE Corp.

Наименование ПО

Microwave NR8950
Microwave NR8150
Microwave NR8000 TR
Microwave NR8120
Microwave NR8120A
Microwave NR8250

Версия ПО

до V12.17.20 (Microwave NR8950)
до V12.17.20 (Microwave NR8150)
до V12.17.20 (Microwave NR8000 TR)
до V12.17.20 (Microwave NR8120)
до V12.17.20 (Microwave NR8120A)
до V12.17.20 (Microwave NR8250)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций: http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1008422

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.13762
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2017-10932

CVSS3: 9.8
nvd
больше 8 лет назад

All versions prior to V12.17.20 of the ZTE Microwave NR8000 series products - NR8120, NR8120A, NR8120, NR8150, NR8250, NR8000 TR and NR8950 are the applications of C/S architecture using the Java RMI service in which the servers use the Apache Commons Collections (ACC) library that may result in Java deserialization vulnerabilities. An unauthenticated remote attacker can exploit the vulnerabilities by sending a crafted RMI request to execute arbitrary code on the target host.

github логотип

GHSA-m3q7-cc99-gc97

CVSS3: 9.8
github
больше 3 лет назад

All versions prior to V12.17.20 of the ZTE Microwave NR8000 series products - NR8120, NR8120A, NR8120, NR8150, NR8250, NR8000 TR and NR8950 are the applications of C/S architecture using the Java RMI service in which the servers use the Apache Commons Collections (ACC) library that may result in Java deserialization vulnerabilities. An unauthenticated remote attacker can exploit the vulnerabilities by sending a crafted RMI request to execute arbitrary code on the target host.

EPSS

Процентиль: 94%
0.13762
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2