Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05113

Опубликовано: 26 апр. 2024
Источник: fstec
CVSS3: 5.4
CVSS2: 4.7
EPSS Низкий

Описание

Уязвимость микропрограммного обеспечения маршрутизаторов ASUS RT-N12+ B1 связана с непринятием мер по очистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды посредством CSV-инъекции с помощью параметра client name

Вендор

ASUSTeK Computer Inc.

Наименование ПО

RT-N12+ B1

Версия ПО

- (RT-N12+ B1)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,7)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,4)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- использование систем обнаружения и предотвращения вторжений для отслеживания индикаторов компрометации, указывающих на возможную эксплуатацию уязвимости;
- ограничение доступа из общедоступных сетей (Интернет);
- использование безопасных протоколов передачи данных (например HTTPS);
- использование методов шифрования для безопасного хранения учетных данных, предотвращающих несанкционированный доступ;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 11%
0.00036
Низкий

5.4 Medium

CVSS3

4.7 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-28328

CVSS3: 5.4
nvd
почти 2 года назад

CSV Injection vulnerability in the Asus RT-N12+ router allows administrator users to inject arbitrary commands or formulas in the client name parameter which can be triggered and executed in a different user session upon exporting to CSV format.

github логотип

GHSA-3428-vpwf-2w42

CVSS3: 5.4
github
почти 2 года назад

CSV Injection vulnerability in the Asus RT-N12+ router allows administrator users to inject arbitrary commands or formulas in the client name parameter which can be triggered and executed in a different user session upon exporting to CSV format.

EPSS

Процентиль: 11%
0.00036
Низкий

5.4 Medium

CVSS3

4.7 Medium

CVSS2