BDU:2024-01285

Опубликовано: 25 янв. 2024

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Средний

Описание

Уязвимость модуля gena.cgi микропрограммного обеспечения беспроводных точек доступа D-Link DAP-1650 связана с некорректной проверкой входных данных при обработке сообщений UPnP SUBSCRIBE. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды с помощью специально созданных данных

Вендор

D-Link Corp.

Наименование ПО

DAP-1650

Версия ПО

- (DAP-1650)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- ограничение доступа к оборудованию из общедоступных сетей (Интернет);

- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;

- сегментирование сети с целью ограничения доступа к оборудованию из других подсетей;

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-23624
CVE

EPSS

Процентиль: 93%

0.10009

Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2024-23624

CVSS3: 9.6

nvd

около 2 лет назад

A command injection vulnerability exists in the gena.cgi module of D-Link DAP-1650 devices. An unauthenticated attacker can exploit this vulnerability to gain command execution on the device as root.

GHSA-g338-cr75-98gg