Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-04628

Опубликовано: 11 сент. 2019
Источник: fstec
CVSS3: 7.5
CVSS2: 8.5
EPSS Низкий

Описание

Уязвимость функции автоматического обновления операционной системы RouterOS маршрутизаторов MikroTik связана с загрузкой кода без проверки его целостности. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации путем сброса учетных данных в процессе установки старой версии программного обеспечения

Вендор

MikroTik

Наименование ПО

RouterOS

Версия ПО

до 6.45.6 Stable включительно (RouterOS)
до 6.44.5 Long-term включительно (RouterOS)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

MikroTik RouterOS до 6.45.6 Stable включительно
MikroTik RouterOS до 6.44.5 Long-term включительно

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://blog.mikrotik.com/security/package-validation-and-upgrade-vulnerability.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 75%
0.00859
Низкий

7.5 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2019-3977

CVSS3: 7.5
nvd
больше 6 лет назад

RouterOS 6.45.6 Stable, RouterOS 6.44.5 Long-term, and below insufficiently validate where upgrade packages are download from when using the autoupgrade feature. Therefore, a remote attacker can trick the router into "upgrading" to an older version of RouterOS and possibly reseting all the system's usernames and passwords.

github логотип

GHSA-94gr-5fp3-387v

CVSS3: 7.5
github
больше 3 лет назад

RouterOS 6.45.6 Stable, RouterOS 6.44.5 Long-term, and below insufficiently validate where upgrade packages are download from when using the autoupgrade feature. Therefore, a remote attacker can trick the router into "upgrading" to an older version of RouterOS and possibly reseting all the system's usernames and passwords.

EPSS

Процентиль: 75%
0.00859
Низкий

7.5 High

CVSS3

8.5 High

CVSS2