Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05218

Опубликовано: 05 сент. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции iperf файла set_iperf3_svr.cgi прикладного программного интерфейса маршрутизаторов ASUS RT-AX55, RT-AX56U_V2 и RT-AC86U связана с ошибками при обработке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

ASUSTeK Computer Inc.

Наименование ПО

RT-AC86U
RT-AX55
RT-AX56U

Версия ПО

до 3.0.0.4.386_51915 (RT-AC86U)
до 3.0.0.4.386_51948 (RT-AX55)
до 3.0.0.4.386_50460 включительно (RT-AX56U)

Тип ПО

ПО сетевого программно-аппаратного средства
Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удаленного доступа к устройству;
- ограничение подключения к устройству из сетей общего пользования (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://www.asus.com/networking-iot-servers/wifi-routers/all-series/rt-ax55/helpdesk_bios/?model2Name=RT-AX55
https://www.asus.com/networking-iot-servers/wifi-6/all-series/rt-ax56u/helpdesk_bios/?model2Name=RT-AX56U
https://www.asus.com/supportonly/rt-ac86u/helpdesk_bios/?model2Name=RT-AC86U

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 87%
0.03202
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-39238

CVSS3: 7.2
nvd
больше 2 лет назад

It is identified a format string vulnerability in ASUS RT-AX56U V2. This vulnerability is caused by lacking validation for a specific value within its set_iperf3_svr.cgi module. A remote attacker with administrator privilege can exploit this vulnerability to perform remote arbitrary code execution, arbitrary system operation or disrupt service.

github логотип

GHSA-r2q6-vc3h-88w5

CVSS3: 9.8
github
больше 2 лет назад

It is identified a format string vulnerability in ASUS RT-AX56U V2. This vulnerability is caused by lacking validation for a specific value within its set_iperf3_svr.cgi module. An unauthenticated remote attacker can exploit this vulnerability without privilege to perform remote arbitrary code execution, arbitrary system operation or disrupt service.

EPSS

Процентиль: 87%
0.03202
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2