Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-05849

Опубликовано: 20 сент. 2019
Источник: fstec
CVSS3: 5.5
CVSS2: 6.5
EPSS Низкий

Описание

Уязвимость сценария newcli.php веб-интерфейса микропрограммного обеспечения шлюзов Ruijie EG-2000SE связана с непринятием мер по нейтрализации специальных элементов, используемых в команде. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и получить несанкционированный доступ к защищаемой информации с помощью подстроки mode_url=exec&command=

Вендор

Ruijie Networks Co., Ltd.

Наименование ПО

Ruijie EG-2000SE

Версия ПО

EG_RGOS 11.9 B11P1 (Ruijie EG-2000SE)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа;
- сегментирование сети для ограничения доступа к промышленному сегменту из других подсетей;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 30%
0.00115
Низкий

5.5 Medium

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2019-16639

CVSS3: 9.8
nvd
больше 1 года назад

An issue was found on the Ruijie EG-2000 series gateway. There is a newcli.php API interface without access control, which can allow an attacker (who only has web interface access) to use TELNET commands and/or show admin passwords via the mode_url=exec&command= substring. This affects EG-2000SE EG_RGOS 11.9 B11P1.

github логотип

GHSA-xh6p-7c6x-4vjr

CVSS3: 9.8
github
больше 1 года назад

An issue was found on the Ruijie EG-2000 series gateway. There is a newcli.php API interface without access control, which can allow an attacker (who only has web interface access) to use TELNET commands and/or show admin passwords via the mode_url=exec&command= substring. This affects EG-2000SE EG_RGOS 11.9 B11P1.

EPSS

Процентиль: 30%
0.00115
Низкий

5.5 Medium

CVSS3

6.5 Medium

CVSS2