Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2018-00785

Опубликовано: 23 дек. 2017
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость компонента apply.cgi микропрограммного обеспечения маршрутизаторов ASUS существует из-за непринятия мер по нейтрализации специальных элементов, используемых в командах операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды с помощью переменной SystemCmd, значение которой генерируется с использованием полей ввода pingCNT и destIP страницы Main_Analysis_Content.asp, путем отправки HTTP-запросов

Вендор

ASUSTeK Computer Inc.

Наименование ПО

ASUS RT-AC66U
ASUS RT-AC68U
ASUS RT-AC86U
ASUS RT-AC88U
ASUS RT-AC1900
ASUS RT-AC2900
ASUS RT-AC3100
ASUS RT-N18U
ASUS RT-AC3200
ASUS RT-AC5300
ASUS RT-AC87U

Версия ПО

до 3.0.0.4.384_10007 (ASUS RT-AC66U)
до 3.0.0.4.384_10007 (ASUS RT-AC68U)
до 3.0.0.4.384_10007 (ASUS RT-AC86U)
до 3.0.0.4.384_10007 (ASUS RT-AC88U)
до 3.0.0.4.384_10007 (ASUS RT-AC1900)
до 3.0.0.4.384_10007 (ASUS RT-AC2900)
до 3.0.0.4.384_10007 (ASUS RT-AC3100)
до 3.0.0.4.382.39935 (ASUS RT-N18U)
до 3.0.0.4.382.50010 (ASUS RT-AC3200)
3.0.0.4.384.20287 (ASUS RT-AC5300)
3.0.0.4.382.50010 (ASUS RT-AC87U)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://fortiguard.com/zeroday/FG-VD-17-216

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 86%
0.02805
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2018-9285

CVSS3: 9.8
nvd
почти 8 лет назад

Main_Analysis_Content.asp in /apply.cgi on ASUS RT-AC66U, RT-AC68U, RT-AC86U, RT-AC88U, RT-AC1900, RT-AC2900, and RT-AC3100 devices before 3.0.0.4.384_10007; RT-N18U devices before 3.0.0.4.382.39935; RT-AC87U and RT-AC3200 devices before 3.0.0.4.382.50010; and RT-AC5300 devices before 3.0.0.4.384.20287 allows OS command injection via the pingCNT and destIP fields of the SystemCmd variable.

github логотип

GHSA-8g7r-fwgg-5qfg

CVSS3: 9.8
github
больше 3 лет назад

Main_Analysis_Content.asp in /apply.cgi on ASUS RT-AC66U, RT-AC68U, RT-AC86U, RT-AC88U, RT-AC1900, RT-AC2900, and RT-AC3100 devices before 3.0.0.4.384_10007; RT-N18U devices before 3.0.0.4.382.39935; RT-AC87U and RT-AC3200 devices before 3.0.0.4.382.50010; and RT-AC5300 devices before 3.0.0.4.384.20287 allows OS command injection via the pingCNT and destIP fields of the SystemCmd variable.

EPSS

Процентиль: 86%
0.02805
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2