BDU:2017-02580

Опубликовано: 22 фев. 2017

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Высокий

Описание

Уязвимость сценария ping.cgi встроенного программного обеспечения маршрутизатора NETGEAR DGN2200v1 существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды операционной системы маршрутизатора и получить полный контроль над устройством с использованием метасимволов оболочки в параметре «ping_IPAddr» POST-запроса

Вендор

NETGEAR

Наименование ПО

DGN2200v1

Версия ПО

10.0.0.50 (DGN2200v1)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://kb.netgear.com/000037343/Security-Advisory-for-Remote-Command-Execution-and-CSRF-Vulnerabilities-on-DGN2200

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6077
CVE
http://www.exploit-db.com/exploits/41394/
Exploit Database

EPSS

Процентиль: 99%

0.86105

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2017-6077

CVSS3: 9.8

nvd

почти 9 лет назад

ping.cgi on NETGEAR DGN2200 devices with firmware through 10.0.0.50 allows remote authenticated users to execute arbitrary OS commands via shell metacharacters in the ping_IPAddr field of an HTTP POST request.

GHSA-hjrc-qggq-2w49

CVSS3: 9.8

github

больше 3 лет назад

EPSS

Процентиль: 99%

0.86105

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2