Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05251

Опубликовано: 21 июн. 2024
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость веб-интерфейса устройств IP-телефонии BAS-IP связана с хранением учетных данных в конфигурационных файлах. Эксплуатация уязвимости может позволить нарушителю раскрыть защищаемую информацию путем отправки специально сформированного HTTP-запроса

Вендор

BAS-IP

Наименование ПО

AV-01D
AV-01MD
AV-01MFD
AV-01ED
AV-01KD
AV-01BD
AV-01KBD
AV-02D
AV-02IDE
AV-02IDR
AV-02IPD
AV-02FDE
AV-02FDR
AV-03D
AV-03BD
AV-04AFD
AV-04ASD
AV-04FD
AV-04SD
AV-05FD
AV-05SD
AA-07BD
AA-07BDI
BA-04BD
BA-04MD
BA-08BD
BA-08MD
BA-12BD
BA-12MD
CR-02BD

Версия ПО

до 3.9.2 (AV-01D)
до 3.9.2 (AV-01MD)
до 3.9.2 (AV-01MFD)
до 3.9.2 (AV-01ED)
до 3.9.2 (AV-01KD)
до 3.9.2 (AV-01BD)
до 3.9.2 (AV-01KBD)
до 3.9.2 (AV-02D)
до 3.9.2 (AV-02IDE)
до 3.9.2 (AV-02IDR)
до 3.9.2 (AV-02IPD)
до 3.9.2 (AV-02FDE)
до 3.9.2 (AV-02FDR)
до 3.9.2 (AV-03D)
до 3.9.2 (AV-03BD)
до 3.9.2 (AV-04AFD)
до 3.9.2 (AV-04ASD)
до 3.9.2 (AV-04FD)
до 3.9.2 (AV-04SD)
до 3.9.2 (AV-05FD)
до 3.9.2 (AV-05SD)
до 3.9.2 (AA-07BD)
до 3.9.2 (AA-07BDI)
до 3.9.2 (BA-04BD)
до 3.9.2 (BA-04MD)
до 3.9.2 (BA-08BD)
до 3.9.2 (BA-08MD)
до 3.9.2 (BA-12BD)
до 3.9.2 (BA-12MD)
до 3.9.2 (CR-02BD)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://bas-ip.com/bsa-000001

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 14%
0.00047
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-37654

CVSS3: 6.1
nvd
около 1 года назад

An issue in BAS-IP AV-01D, AV-01MD, AV-01MFD, AV-01ED, AV-01KD, AV-01BD, AV-01KBD, AV-02D, AV-02IDE, AV-02IDR, AV-02IPD, AV-02FDE, AV-02FDR, AV-03D, AV-03BD, AV-04AFD, AV-04ASD, AV-04FD, AV-04SD, AV-05FD, AV-05SD, AA-07BD, AA-07BDI, BA-04BD, BA-04MD, BA-08BD, BA-08MD, BA-12BD, BA-12MD, CR-02BD before 3.9.2 allows a remote attacker to obtain sensitive information via a crafted HTTP GET request.

github логотип

GHSA-26x4-2jjv-hq3q

CVSS3: 6.1
github
около 1 года назад

An issue in BAS-IP AV-01D, AV-01MD, AV-01MFD, AV-01ED, AV-01KD, AV-01BD, AV-01KBD, AV-02D, AV-02IDE, AV-02IDR, AV-02IPD, AV-02FDE, AV-02FDR, AV-03D, AV-03BD, AV-04AFD, AV-04ASD, AV-04FD, AV-04SD, AV-05FD, AV-05SD, AA-07BD, AA-07BDI, BA-04BD, BA-04MD, BA-08BD, BA-08MD, BA-12BD, BA-12MD, CR-02BD before 3.9.2 allows a remote attacker to obtain sensitive information via a crafted HTTP GET request.

EPSS

Процентиль: 14%
0.00047
Низкий

7.5 High

CVSS3

7.8 High

CVSS2