Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-06596

Опубликовано: 26 июл. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Критический

Описание

Уязвимость файла list_base_config.php веб-интерфейса встроенного программного обеспечения маршрутизаторов Raisecom MSG1200, MSG2100E, MSG2200 и MSG2300 3.90 связана с непринятием мер по нейтрализации специальных элементов, используемых в команде ОС. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путём внедрения специально сформированной curl-команды

Вендор

Raisecom

Наименование ПО

Raisecom MSG1200
Raisecom MSG2100E
Raisecom MSG2200
Raisecom MSG2300

Версия ПО

3.90 (Raisecom MSG1200)
3.90 (Raisecom MSG2100E)
3.90 (Raisecom MSG2200)
3.90 (Raisecom MSG2300)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа;
- использование SIEM-систем для отслеживания IOC, указывающих на попытки эксплуатации уязвимости;
- использование механизма белого списка IP-адресов для ограничения возможности доступа к уязвимым устройствам только доверенными хостами;
- использование виртуальных частных сетей для организации удаленного доступа (VPN) к устройствам.

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 100%
0.92677
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-7120

CVSS3: 6.3
nvd
больше 1 года назад

A vulnerability, which was classified as critical, was found in Raisecom MSG1200, MSG2100E, MSG2200 and MSG2300 3.90. This affects an unknown part of the file list_base_config.php of the component Web Interface. The manipulation of the argument template leads to os command injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-272451.

github логотип

GHSA-9254-9wvc-gmqr

CVSS3: 6.3
github
больше 1 года назад

A vulnerability, which was classified as critical, was found in Raisecom MSG1200, MSG2100E, MSG2200 and MSG2300 3.90. This affects an unknown part of the file list_base_config.php of the component Web Interface. The manipulation of the argument template leads to os command injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-272451.

EPSS

Процентиль: 100%
0.92677
Критический

9.8 Critical

CVSS3

10 Critical

CVSS2