BDU:2024-01286

Опубликовано: 25 янв. 2024

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Средний

Описание

Уязвимость компонента UPnP SUBSCRIBE Message Handler микропрограммного обеспечения беспроводных точек доступа D-Link DAP-1650 связана с некорректной проверкой входных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды с помощью специально созданных данных

Вендор

D-Link Corp.

Наименование ПО

DAP-1650

Версия ПО

- (DAP-1650)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- ограничение доступа к оборудованию из общедоступных сетей (Интернет);

- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;

- сегментирование сети с целью ограничения доступа к оборудованию из других подсетей;

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-23625
CVE

EPSS

Процентиль: 93%

0.10009

Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2024-23625

CVSS3: 9.6

nvd

около 2 лет назад

A command injection vulnerability exists in D-Link DAP-1650 devices when handling UPnP SUBSCRIBE messages. An unauthenticated attacker can exploit this vulnerability to gain command execution on the device as root.

GHSA-gqc3-hmp6-wx23