BDU:2024-03489

Опубликовано: 21 апр. 2024

Источник: fstec

CVSS3: 5.3

CVSS2: 5

EPSS Низкий

Описание

Уязвимость реализации сценария ndmComponents.js микропрограммного обеспечения маршрутизаторов Keenetic связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Keenetic LLC

Наименование ПО

Keenetic Carrier (KN-1711)

Keenetic Giga (KN-1010)

Keenetic Omni (KN-1410)

Keenetic Ultra (KN-1810)

Keenetic Viva (KN-1910)

Версия ПО

до 4.0.2.215 включительно (Keenetic Carrier (KN-1711))

до 4.0.2.215 включительно (Keenetic Giga (KN-1010))

до 3.7.77 включительно (Keenetic Omni (KN-1410))

до 4.1.2.14 включительно (Keenetic Ultra (KN-1810))

до 4.1.2.15 включительно (Keenetic Viva (KN-1910))

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,3)

Возможные меры по устранению уязвимости

В связи с окончанием жизненного цикла данных программных продуктов рекомендуется использовать компенсирующие меры:

- ограничение доступа к файлу ndmComponents.js;

- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;

- ограничение доступа к устройству из внешних сетей (Интернет);

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-4021
CVE

EPSS

Процентиль: 33%

0.00128

Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Связанные уязвимости

CVE-2024-4021

CVSS3: 5.3

nvd

почти 2 года назад

A vulnerability was found in Keenetic KN-1010, KN-1410, KN-1711, KN-1810 and KN-1910 up to 4.1.2.15. It has been declared as problematic. Affected by this vulnerability is an unknown functionality of the file /ndmComponents.js of the component Configuration Setting Handler. The manipulation leads to information disclosure. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-261673 was assigned to this vulnerability. NOTE: The vendor is aware of this issue and plans to fix it by the end of 2024.

GHSA-qpjq-mm4r-7g3r

CVSS3: 5.3

github

почти 2 года назад

A vulnerability was found in Keenetic KN-1010, KN-1410, KN-1711, KN-1810 and KN-1910 up to 4.1.2.15. It has been declared as problematic. Affected by this vulnerability is an unknown functionality of the file /ndmComponents.js of the component Configuration Setting Handler. The manipulation leads to information disclosure. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-261673 was assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.

EPSS

Процентиль: 33%

0.00128

Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2