BDU:2024-02646

Опубликовано: 28 мар. 2024

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения Wi‑Fi роутеров TP-Link EX20v AX1800, Archer C5v AC1200, TD-W9970 and TD-W9970v3 существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю выполнить произвольные команды

Вендор

TP-Link Technologies Co Ltd.

Наименование ПО

Archer C5 (AC1200)

TD-W9970

EX20v AX1800

TD-W9970 3

VX220-G2u

VN020-G2u

Версия ПО

до 20240328 включительно (Archer C5 (AC1200))

до 20240328 включительно (TD-W9970)

до 20240328 включительно (EX20v AX1800)

до 20240328 включительно (TD-W9970 3)

- (VX220-G2u)

- (VN020-G2u)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- использование средств межсетевого экранирования для ограничения удалённого доступа к устройству;

- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;

- ограничение доступа к устройству из внешних сетей (Интернет);

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:

https://www.usom.gov.tr/bildirim/tr-24-0244

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://www.usom.gov.tr/bildirim/tr-24-0244

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2023-6437
CVE

EPSS

Процентиль: 70%

0.00649

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2023-6437

CVSS3: 9.8

nvd

почти 2 года назад

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') vulnerability in TP-Link TP-Link EX20v AX1800, Tp-Link Archer C5v AC1200, Tp-Link TD-W9970, Tp-Link TD-W9970v3, TP-Link VX220-G2u, TP-Link VN020-G2u allows authenticated OS Command Injection.This issue affects TP-Link EX20v AX1800, Tp-Link Archer C5v AC1200, Tp-Link TD-W9970, Tp-Link TD-W9970v3 : through 20240328. Also the vulnerability continues in the TP-Link VX220-G2u and TP-Link VN020-G2u models due to the products not being produced and supported.

GHSA-q3f6-347p-3qc9

CVSS3: 9.8

github

почти 2 года назад

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') vulnerability in Turk Telekom TP-Link allows OS Command Injection.This issue affects TP-Link: through 2024.03.28.

EPSS

Процентиль: 70%

0.00649

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2