BDU:2022-02130

Опубликовано: 13 авг. 2020

Источник: fstec

CVSS3: 8.8

CVSS2: 9

EPSS Низкий

Описание

Уязвимость httpd-демона микропрограммного обеспечения маршрутизатора TP-Link TL-WPA4220 связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды путем отправки специально созданного запроса POST на конечную точку /admin/powerline

Вендор

TP-Link Technologies Co Ltd.

Наименование ПО

TL-WPA4220

Версия ПО

до 4_201023 (TL-WPA4220)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://www.tp-link.com/us/support/download/

https://the-hyperbolic.com/posts/vulnerabilities-in-tlwpa4220/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-24297
CVE

EPSS

Процентиль: 81%

0.01528

Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2020-24297

CVSS3: 8.8

nvd

около 5 лет назад

httpd on TP-Link TL-WPA4220 devices (versions 2 through 4) allows remote authenticated users to execute arbitrary OS commands by sending crafted POST requests to the endpoint /admin/powerline. Fixed version: TL-WPA4220(EU)_V4_201023

GHSA-rxgq-mf23-45xc

github

больше 3 лет назад