BDU:2021-01866

Опубликовано: 21 мар. 2021

Источник: fstec

CVSS3: 8.8

CVSS2: 6.5

EPSS Низкий

Описание

Уязвимость реализации метода автоматического обновления сервера имен в системе доменных имен Dynamic DNS (DDNS) встраиваемой операционной системы OpenWrt связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

OpenWrt

Версия ПО

19.07.0 (OpenWrt)

Тип ПО

Операционная система

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения OpenWrt 19.07.0

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

https://github.com/openwrt/luci/commit/9df7ea4d66644df69fcea18b36bc465912ffc

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-28961
CVE

EPSS

Процентиль: 77%

0.01139

Низкий

8.8 High

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

CVE-2021-28961

CVSS3: 8.8

nvd

около 4 лет назад

applications/luci-app-ddns/luasrc/model/cbi/ddns/detail.lua in the DDNS package for OpenWrt 19.07 allows remote authenticated users to inject arbitrary commands via POST requests.

GHSA-48wc-mjph-v799

CVSS3: 8.8

github

около 3 лет назад

applications/luci-app-ddns/luasrc/model/cbi/ddns/detail.lua in the DDNS package for OpenWrt 19.07 allows remote authenticated users to inject arbitrary commands via POST requests.

EPSS

Процентиль: 77%

0.01139

Низкий

8.8 High

CVSS3

6.5 Medium

CVSS2