Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-00132

Опубликовано: 11 авг. 2020
Источник: fstec
CVSS3: 8.8
CVSS2: 8.3
EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения маршрутизаторов D–Link DSR-150, DSR-150N, DSR-250, DSR-250N, DSR-500, DSR-500N, DSR-500AC, DSR-1000, DSR-1000N, DSR-1000AC связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии и выполнить произвольный код

Вендор

D-Link Corp.

Наименование ПО

DSR-150
DSR-150N
DSR-250
DSR-250N
DSR-500
DSR-500N
DSR-500AC
DSR-1000
DSR-1000AC
DSR-1000N

Версия ПО

до 3.17 включительно (DSR-150)
до 3.17 включительно (DSR-150N)
до 3.17 включительно (DSR-250)
до 3.17 включительно (DSR-250N)
до 3.17 включительно (DSR-500)
до 3.17 включительно (DSR-500N)
до 3.17 включительно (DSR-500AC)
до 3.17 включительно (DSR-1000)
до 3.17 включительно (DSR-1000AC)
до 3.17 включительно (DSR-1000N)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10195

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 66%
0.00518
Низкий

8.8 High

CVSS3

8.3 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-25757

CVSS3: 8.8
nvd
около 5 лет назад

A lack of input validation and access controls in Lua CGIs on D-Link DSR VPN routers may result in arbitrary input being passed to system command APIs, resulting in arbitrary command execution with root privileges. This affects DSR-150, DSR-250, DSR-500, and DSR-1000AC with firmware 3.14 and 3.17.

github логотип

GHSA-7374-8xfw-v758

github
больше 3 лет назад

A lack of input validation and access controls in Lua CGIs on D-Link DSR VPN routers may result in arbitrary input being passed to system command APIs, resulting in arbitrary command execution with root privileges. This affects DSR-150, DSR-250, DSR-500, and DSR-1000AC with firmware 3.14 and 3.17.

EPSS

Процентиль: 66%
0.00518
Низкий

8.8 High

CVSS3

8.3 High

CVSS2