Описание
Уязвимость исполняемого файла iplogging.cgi микропрограммного обеспечения ALEOS маршрутизаторов Sierra Wireless существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Вендор
Sierra Wireless Inc.
Наименование ПО
ALEOS
Версия ПО
до 4.9.7 включительно (ALEOS)
до 4.9.7 включительно (ALEOS)
до 4.16.0 (ALEOS)
до 4.16.0 (ALEOS)
до 4.16.0 (ALEOS)
до 4.16.0 (ALEOS)
до 4.16.0 (ALEOS)
до 4.16.0 (ALEOS)
Тип ПО
Операционная система
Операционные системы и аппаратные платформы
Sierra Wireless Inc. ALEOS до 4.9.7 включительно
Sierra Wireless Inc. ALEOS до 4.9.7 включительно
Sierra Wireless Inc. ALEOS до 4.16.0
Sierra Wireless Inc. ALEOS до 4.16.0
Sierra Wireless Inc. ALEOS до 4.16.0
Sierra Wireless Inc. ALEOS до 4.16.0
Sierra Wireless Inc. ALEOS до 4.16.0
Sierra Wireless Inc. ALEOS до 4.16.0
Уровень опасности уязвимости
Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- отключение доступа к ACEManager из внешних сетей (Интернет);
- использование Sierra Wireless Airlink Management System (ALMS) или альтернативной платформы управления устройствами для удаленного управления устройствами ALEOS;
- использование сторонних средств контроля доступа пользователей (VPN и др.) к программному продукту из общедоступных сетей (Интернет).
Использование рекомендаций производителя:
https://source.sierrawireless.com/resources/security-bulletins/sierra-wireless-technical-bulletin---swi-psa-2023-001/#sthash.uYn9feM9.dpbs
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Уязвимость устранена
Идентификаторы других систем описаний уязвимостей
- CVE
- ICSA
EPSS
Процентиль: 25%
0.00085
Низкий
8.8 High
CVSS3
10 Critical
CVSS2
Связанные уязвимости
CVSS3: 8.8
nvd
почти 3 года назад
Acemanager in ALEOS before version 4.16 allows a user with valid credentials to manipulate the IP logging operation to execute arbitrary shell commands on the device.
CVSS3: 8.8
github
почти 3 года назад
Acemanager in ALEOS before version 4.16 allows a user with valid credentials to manipulate the IP logging operation to execute arbitrary shell commands on the device.
EPSS
Процентиль: 25%
0.00085
Низкий
8.8 High
CVSS3
10 Critical
CVSS2