BDU:2023-00679

Опубликовано: 30 нояб. 2022

Источник: fstec

CVSS3: 9.1

CVSS2: 9

EPSS Средний

Описание

Уязвимость реализации функции exec() микропрограммного обеспечения маршрутизаторов D-Link DIR-846 связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы при обработке параметра lan(0)_dhcps_staticlist. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды путем отправки специально созданного POST-запроса

Вендор

D-Link Corp.

Наименование ПО

DIR-846

Версия ПО

FW100A53DBR (DIR-846)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Организационные меры:

1. Ограничить использование маршрутизаторов D-Link DIR-846

2. Использование аналогичного программно-аппаратного средства

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2022-46552
CVE

EPSS

Процентиль: 96%

0.22116

Средний

9.1 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2022-46552

CVSS3: 8.8

nvd

около 3 лет назад

D-Link DIR-846 Firmware FW100A53DBR was discovered to contain a remote command execution (RCE) vulnerability via the lan(0)_dhcps_staticlist parameter. This vulnerability is exploited via a crafted POST request.

GHSA-4mwq-46m8-4mgj