BDU:2023-02947

Опубликовано: 22 фев. 2017

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Высокий

Описание

Уязвимость сценария ping.cgi встроенного программного обеспечения маршрутизатора NETGEAR DGN2200 существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды операционной системы маршрутизатора и получить полный контроль над устройством с использованием метасимволов в параметре «ping_IPAddr» POST-запроса

Вендор

NETGEAR

Наименование ПО

DGN2200

Версия ПО

до 10.0.0.50 (DGN2200)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;

- ограничение доступа к устройству из внешних сетей (Интернет);

- использование средств межсетевого экранирования с целью ограничения доступа к устройству.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%

0.89207

Высокий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2017-6334

CVSS3: 8.8

nvd

почти 9 лет назад

dnslookup.cgi on NETGEAR DGN2200 devices with firmware through 10.0.0.50 allows remote authenticated users to execute arbitrary OS commands via shell metacharacters in the host_name field of an HTTP POST request, a different vulnerability than CVE-2017-6077.

GHSA-fmcr-2q62-c3m5