Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-00824

Опубликовано: 22 окт. 2018
Источник: fstec
CVSS3: 10
CVSS2: 10
EPSS Средний

Описание

Уязвимость веб-интерфейса микропрограммного обеспечения сетевых устройств хранения данных Seagate GoFlex Home, Medion LifeCloud NAS и Netgear Stora связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии

Вендор

Seagate Technology LLC
Medion AG
NETGEAR

Наименование ПО

Seagate GoFlex Home
Medion LifeCloud NAS
STORA

Версия ПО

- (Seagate GoFlex Home)
- (Medion LifeCloud NAS)
- (STORA)

Тип ПО

ПО сетевого программно-аппаратного средства
Микропрограммный код аппаратных компонент компьютера

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.15524
Средний

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2018-18471

CVSS3: 9.8
nvd
больше 6 лет назад

/api/2.0/rest/aggregator/xml in Axentra firmware, used by NETGEAR Stora, Seagate GoFlex Home, and MEDION LifeCloud, has an XXE vulnerability that can be chained with an SSRF bug to gain remote command execution as root. It can be triggered by anyone who knows the IP address of the affected device.

github логотип

GHSA-vv88-7w5x-843v

CVSS3: 9.8
github
больше 3 лет назад

/api/2.0/rest/aggregator/xml in Axentra firmware, used by NETGEAR Stora, Seagate GoFlex Home, and MEDION LifeCloud, has an XXE vulnerability that can be chained with an SSRF bug to gain remote command execution as root. It can be triggered by anyone who knows the IP address of the affected device.

EPSS

Процентиль: 94%
0.15524
Средний

10 Critical

CVSS3

10 Critical

CVSS2