BDU:2023-00608

Опубликовано: 11 янв. 2023

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость функции strstr() микропрограммного обеспечения маршрутизаторов Netcomm NF20, NF20MESH, NL1902 связана с обходом аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

NetCommWireless

Наименование ПО

Netcomm NF20

Netcomm NF20MESH

Netcomm NL1902

Версия ПО

до R6B025 (Netcomm NF20)

до R6B025 (Netcomm NF20MESH)

до R6B025 (Netcomm NL1902)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://support.netcommwireless.com/api/Media/Firmware/47272f20-2a3e-4597-8e98-7e94325ce24d?Product=NF20MESH%20Release%20Notes.pdf

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-4874
CVE

EPSS

Процентиль: 45%

0.00226

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2022-4874

CVSS3: 7.5

nvd

около 3 лет назад

Authentication bypass in Netcomm router models NF20MESH, NF20, and NL1902 allows an unauthenticated user to access content. In order to serve static content, the application performs a check for the existence of specific characters in the URL (.css, .png etc). If it exists, it performs a "fake login" to give the request an active session to load the file and not redirect to the login page.

GHSA-6pwv-hr7p-g77v