BDU:2023-03003

Опубликовано: 22 мая 2023

Источник: fstec

CVSS3: 8.8

CVSS2: 9

EPSS Высокий

Описание

Уязвимость реализации протокола HNAP1 (Home Network Administration Protocol) микропрограммного обеспечения маршрутизаторов D-Link DIR-846 связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы при обработке параметра tomography_ping_address. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды путем отправки специально сформированных запросов

Вендор

D-Link Corp.

Наименование ПО

DIR-846

Версия ПО

1.00A52 (DIR-846)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;

- ограничение доступа к устройству из внешних сетей (Интернет);

- использование средств межсетевого экранирования с целью ограничения доступа к устройству.

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-33735
CVE

EPSS

Процентиль: 99%

0.7478

Высокий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2023-33735

CVSS3: 9.8

nvd

больше 2 лет назад

D-Link DIR-846 v1.00A52 was discovered to contain a remote command execution (RCE) vulnerability via the tomography_ping_address parameter in the /HNAP1 interface.

GHSA-fwc5-f8jq-qgh2