Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-03025

Опубликовано: 11 дек. 2023
Источник: fstec
CVSS3: 8.1
CVSS2: 7.6
EPSS Низкий

Описание

Уязвимость функции tddpd Enable_test_mode микропрограммного обеспечения беспроводных точек доступа Tp-Link AC1350 и Tp-Link N300 связана с включением функций из недостоверной контролируемой области. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды путём отправки специально сформированных сетевых пакетов

Вендор

TP-Link Technologies Co Ltd.

Наименование ПО

N300
AC1350

Версия ПО

5.0.4 Build 20220216 (N300)
5.1.0 Build 20220926 (AC1350)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,1)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к устройству;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://www.tp-link.com/us/support/download/eap115/v4/#Firmware%20
https://www.tp-link.com/us/support/download/eap225/v3/#Firmware

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 66%
0.0052
Низкий

8.1 High

CVSS3

7.6 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2023-49133

CVSS3: 8.1
nvd
почти 2 года назад

A command execution vulnerability exists in the tddpd enable_test_mode functionality of Tp-Link AC1350 Wireless MU-MIMO Gigabit Access Point (EAP225 V3) v5.1.0 Build 20220926 and Tp-Link N300 Wireless Access Point (EAP115 V4) v5.0.4 Build 20220216. A specially crafted series of network requests can lead to arbitrary command execution. An attacker can send a sequence of unauthenticated packets to trigger this vulnerability.This vulnerability impacts `uclited` on the EAP225(V3) 5.1.0 Build 20220926 of the AC1350 Wireless MU-MIMO Gigabit Access Point.

github логотип

GHSA-fqq4-qr43-h5jq

CVSS3: 8.1
github
почти 2 года назад

A command execution vulnerability exists in the tddpd enable_test_mode functionality of Tp-Link AC1350 Wireless MU-MIMO Gigabit Access Point (EAP225 V3) v5.1.0 Build 20220926 and Tp-Link N300 Wireless Access Point (EAP115 V4) v5.0.4 Build 20220216. A specially crafted series of network requests can lead to arbitrary command execution. An attacker can send a sequence of unauthenticated packets to trigger this vulnerability.This vulnerability impacts `uclited` on the EAP225(V3) 5.1.0 Build 20220926 of the AC1350 Wireless MU-MIMO Gigabit Access Point.

EPSS

Процентиль: 66%
0.0052
Низкий

8.1 High

CVSS3

7.6 High

CVSS2