Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-01711

Опубликовано: 01 дек. 2021
Источник: fstec
CVSS3: 6.3
CVSS2: 5.8
EPSS Низкий

Описание

Уязвимость httpd-демона встроенного программного обеспечения маршрутизаторов NETGEAR R6400, NETGEAR R6400v2, NETGEAR R6700v3, NETGEAR R6900P, NETGEAR R7000, NETGEAR R7000P, NETGEAR R8500, NETGEAR RAX15, NETGEAR RAX20, NETGEAR RAX35v2, NETGEAR RAX38v2, NETGEAR RAX40v2, NETGEAR RAX42, NETGEAR RAX43, NETGEAR RAX45, NETGEAR RAX48, NETGEAR RAX50, NETGEAR RAX50S, NETGEAR RS400, NETGEAR R7100LG, NETGEAR LAX20, NETGEAR CAX80, NETGEAR MR80, NETGEAR MS80 связана с обходом аутентификации посредством альтернативного имени. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти аутентификацию

Вендор

NETGEAR

Наименование ПО

R6400
R6400v2
R6700v3
R6900P
R7000
R7000P
R8500
RAX15
RAX20
RAX35v2
RAX38v2
RAX40v2
RAX42
RAX43
RAX45
RAX48
RAX50
RAX50S
RS400
CAX80
LAX20
R7100LG
MR80
MS80

Версия ПО

до 1.0.1.78 (R6400)
до 1.0.4.126 (R6400v2)
до 1.0.4.126 (R6700v3)
до 1.3.3.148 (R6900P)
до 1.0.11.134 (R7000)
до 1.3.3.148 (R7000P)
до 1.0.2.158 (R8500)
до 1.0.10.110 (RAX15)
до 1.0.10.110 (RAX20)
до 1.0.10.110 (RAX35v2)
до 1.0.10.110 (RAX38v2)
до 1.0.10.110 (RAX40v2)
до 1.0.10.110 (RAX42)
до 1.0.10.110 (RAX43)
до 1.0.10.110 (RAX45)
до 1.0.10.110 (RAX48)
до 1.0.10.110 (RAX50)
до 1.0.10.110 (RAX50S)
до 1.5.1.86 (RS400)
до 2.1.3.7 (CAX80)
до 1.1.6.34 (LAX20)
до 1.0.0.76 (R7100LG)
до 1.1.6.14 (MR80)
до 1.1.6.14 (MS80)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://kb.netgear.com/000064723/Security-Advisory-for-Multiple-Vulnerabilities-on-Multiple-Products-PSV-2021-0327

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 11%
0.00039
Низкий

6.3 Medium

CVSS3

5.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-27642

CVSS3: 8.8
nvd
почти 3 года назад

This vulnerability allows network-adjacent attackers to bypass authentication on affected installations of NETGEAR R6700v3 1.0.4.120_10.0.91 routers. Authentication is not required to exploit this vulnerability. The specific flaw exists within the httpd service. The issue results from incorrect string matching logic when accessing protected pages. An attacker can leverage this in conjunction with other vulnerabilities to execute code in the context of root. Was ZDI-CAN-15854.

github логотип

GHSA-w94x-h737-f6h9

CVSS3: 8.8
github
почти 3 года назад

This vulnerability allows network-adjacent attackers to bypass authentication on affected installations of NETGEAR R6700v3 1.0.4.120_10.0.91 routers. Authentication is not required to exploit this vulnerability. The specific flaw exists within the httpd service. The issue results from incorrect string matching logic when accessing protected pages. An attacker can leverage this in conjunction with other vulnerabilities to execute code in the context of root. Was ZDI-CAN-15854.

EPSS

Процентиль: 11%
0.00039
Низкий

6.3 Medium

CVSS3

5.8 Medium

CVSS2