BDU:2024-04298

Опубликовано: 26 фев. 2024

Источник: fstec

CVSS3: 8.2

CVSS2: 8.5

EPSS Средний

Описание

Уязвимость панели администратора микропрограммного обеспечения маршрутизаторов GL.iNet связана с использованием ненадёжного пути поиска в процессе экспорта журналов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации и загружать произвольные файлы

Вендор

GL Tech (HK) Ltd.

Наименование ПО

GL-MT6000

GL-XE3000

GL-X3000

GL-MT3000

GL-MT2500

GL-AXT1800

GL-AX1800

GL-A1300

GL-B1300

GL-MT1300

GL-MT300N-V2

GL-AR750

GL-AR750S

GL-AR300M

GL-S200

GL-X750

GL-SFT1200

GL-XE300

GL-AR300M16

GL-X300B

GL-S1300

GL-SF1200

GL-MV1000

N300

GL-B2200

GL-X1200

Версия ПО

4.5.5 (GL-MT6000)

4.4.4 (GL-XE3000)

4.4.5 (GL-X3000)

4.5.0 (GL-MT3000)

4.5.0 (GL-MT2500)

4.5.0 (GL-AXT1800)

4.5.0 (GL-AX1800)

4.5.0 (GL-A1300)

4.3.10 (GL-B1300)

4.3.10 (GL-MT1300)

4.3.10 (GL-MT300N-V2)

4.3.10 (GL-AR750)

4.3.10 (GL-AR750S)

4.3.10 (GL-AR300M)

4.1.4-0300 (GL-S200)

4.3.7 (GL-X750)

4.3.7 (GL-SFT1200)

4.3.7 (GL-XE300)

4.3.10 (GL-AR300M16)

3.217 (GL-X300B)

3.216 (GL-S1300)

3.216 (GL-SF1200)

3.216 (GL-MV1000)

3.216 (N300)

3.216 (GL-B2200)

3.203 (GL-X1200)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,2)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://www.gl-inet.com/security-updates/security-advisories-vulnerabilities-and-cves-apr-29-2024/

Для GL-MT6000:

https://dl.gl-inet.com/router/mt6000/

Для GL-XE3000:

https://dl.gl-inet.com/router/xe3000/

Для GL-X3000:

https://dl.gl-inet.com/router/x3000/

Для GL-MT3000:

https://dl.gl-inet.com/router/mt3000/

Для GL-MT2500:

https://dl.gl-inet.com/router/mt2500/

Для GL-AXT1800:

https://dl.gl-inet.com/router/axt1800/

Для GL-AX1800:

https://dl.gl-inet.com/router/ax1800/

Для GL-A1300:

https://dl.gl-inet.com/router/a1300/

Для GL-S200:

https://dl.gl-inet.com/iot/s200/

Для GL-X750:

https://dl.gl-inet.com/router/x750/

Для GL-SFT1200:

https://dl.gl-inet.com/router/sft1200/

Для GL-XE300:

https://dl.gl-inet.com/router/xe300/

Для GL-MT1300:

https://dl.gl-inet.com/router/mt1300/

Для GL-AR750:

https://dl.gl-inet.com/router/ar750/

Для GL-AR750S:

https://dl.gl-inet.com/router/ar750s/

Для GL-AR300M:

https://dl.gl-inet.com/router/ar300m/

Для GL-AR300M16:

https://dl.gl-inet.com/router/ar300m16/

Для GL-B1300:

https://dl.gl-inet.com/router/b1300/

Для GL-MT300N-v2:

https://dl.gl-inet.com/router/mt300n-v2/

Для GL-X300B:

https://dl.gl-inet.com/router/x300b/

Для GL-S1300:

https://dl.gl-inet.com/router/s1300/

Для GL-SF1200:

https://dl.gl-inet.com/router/sf1200/

Для GL-MV1000:

https://dl.gl-inet.com/router/mv1000/

Для N300:

https://dl.gl-inet.com/router/n300/

Для GL-B2200:

https://dl.gl-inet.com/router/b2200/

Для GL-X1200:

https://dl.gl-inet.com/router/x1200/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%

0.15183

Средний

8.2 High

CVSS3

8.5 High

CVSS2

Связанные уязвимости

CVE-2024-27356

CVSS3: 7.5

nvd

почти 2 года назад

An issue was discovered on certain GL-iNet devices. Attackers can download files such as logs via commands, potentially obtaining critical user information. This affects MT6000 4.5.5, XE3000 4.4.4, X3000 4.4.5, MT3000 4.5.0, MT2500 4.5.0, AXT1800 4.5.0, AX1800 4.5.0, A1300 4.5.0, S200 4.1.4-0300, X750 4.3.7, SFT1200 4.3.7, XE300 4.3.7, MT1300 4.3.10, AR750 4.3.10, AR750S 4.3.10, AR300M 4.3.10, AR300M16 4.3.10, B1300 4.3.10, MT300N-v2 4.3.10, X300B 3.217, S1300 3.216, SF1200 3.216, MV1000 3.216, N300 3.216, B2200 3.216, and X1200 3.203.

GHSA-2m9v-3qff-5xxf