Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2018-01347

Опубликовано: 12 окт. 2018
Источник: fstec
CVSS3: 9.1
CVSS2: 9
EPSS Критический

Описание

Уязвимость веб-интерфейса микропрограммного обеспечения маршрутизаторов D-Link связана с недостаточной нейтрализацией специальных элементов, используемых в команде ОС. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально сформированного значения параметра sip при осуществлении запроса к странице chkisg.htm

Вендор

D-Link Corp.

Наименование ПО

DWR-116
DWR-512
DWR-712
DWR-912
DWR-921
DWR-111

Версия ПО

до 1.06 включительно (DWR-116)
до 2.02 включительно (DWR-512)
до 2.02 включительно (DWR-712)
до 2.02 включительно (DWR-912)
до 2.02 включительно (DWR-921)
до 1.01 включительно (DWR-111)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,9)

Возможные меры по устранению уязвимости

Ограничение доступа веб-интерфейсу устройства из недоверенных источников

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.9396
Критический

9.1 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2018-10823

CVSS3: 8.8
nvd
больше 7 лет назад

An issue was discovered on D-Link DWR-116 through 1.06, DWR-512 through 2.02, DWR-712 through 2.02, DWR-912 through 2.02, DWR-921 through 2.02, and DWR-111 through 1.01 devices. An authenticated attacker may execute arbitrary code by injecting the shell command into the chkisg.htm page Sip parameter. This allows for full control over the device internals.

github логотип

GHSA-qh9h-ccxh-x284

CVSS3: 8.8
github
больше 3 лет назад

An issue was discovered on D-Link DWR-116 through 1.06, DWR-512 through 2.02, DWR-712 through 2.02, DWR-912 through 2.02, DWR-921 through 2.02, and DWR-111 through 1.01 devices. An authenticated attacker may execute arbitrary code by injecting the shell command into the chkisg.htm page Sip parameter. This allows for full control over the device internals.

EPSS

Процентиль: 100%
0.9396
Критический

9.1 Critical

CVSS3

9 Critical

CVSS2