Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05252

Опубликовано: 10 июл. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость прикладного программного интерфейса маршрутизаторов ASUS RT-AX55, RT-AX56U_V2 и RT-AC86U связана с использованием неконтролируемых форматных строк. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код с помощью специально созданных данных

Вендор

ASUSTeK Computer Inc.

Наименование ПО

RT-AC86U
RT-AX55
RT-AX56U

Версия ПО

до 3.0.0.4.386_51915 (RT-AC86U)
до 3.0.0.4.386_51948 (RT-AX55)
до 3.0.0.4.386_50460 включительно (RT-AX56U)

Тип ПО

ПО сетевого программно-аппаратного средства
Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удаленного доступа к устройству;
- ограничение подключения к устройству из сетей общего пользования (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://www.asus.com/networking-iot-servers/wifi-routers/all-series/rt-ax55/helpdesk_bios/?model2Name=RT-AX55
https://www.asus.com/networking-iot-servers/wifi-6/all-series/rt-ax56u/helpdesk_bios/?model2Name=RT-AX56U
https://www.asus.com/supportonly/rt-ac86u/helpdesk_bios/?model2Name=RT-AC86U

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 74%
0.00848
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-39239

CVSS3: 7.2
nvd
больше 2 лет назад

It is identified a format string vulnerability in ASUS RT-AX56U V2’s General function API. This vulnerability is caused by lacking validation for a specific value within its apply.cgi module. A remote attacker with administrator privilege can exploit this vulnerability to perform remote arbitrary code execution, arbitrary system operation or disrupt service.

github логотип

GHSA-3vqq-6vgg-h45h

CVSS3: 9.8
github
больше 2 лет назад

It is identified a format string vulnerability in ASUS RT-AX56U V2’s General function API. This vulnerability is caused by lacking validation for a specific value within its apply.cgi module. An unauthenticated remote attacker can exploit this vulnerability without privilege to perform remote arbitrary code execution, arbitrary system operation or disrupt service.

EPSS

Процентиль: 74%
0.00848
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2