Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-06597

Опубликовано: 27 авг. 2024
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции cgi_FMT_R12R5_2nd_DiskMGR компонента /cgi-bin/hd_config.cgi микропрограммного обеспечения маршрутизаторов D-Link связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

D-Link Corp.

Наименование ПО

DNS-320L
DNS-325
DNS-340L
DNS-120
DNR-202L
DNS-315L
DNS-320
DNS-320LW
DNS-321
DNS-323
DNS-326
DNS-327L
DNR-326
DNS-343
DNS-345
DNS-726-4
DNS-1100-4
DNS-1200-05
DNS-322L
DNS-1550-04

Версия ПО

- (DNS-320L)
- (DNS-325)
- (DNS-340L)
- (DNS-120)
- (DNR-202L)
- (DNS-315L)
- (DNS-320)
- (DNS-320LW)
- (DNS-321)
- (DNS-323)
- (DNS-326)
- (DNS-327L)
- (DNR-326)
- (DNS-343)
- (DNS-345)
- (DNS-726-4)
- (DNS-1100-4)
- (DNS-1200-05)
- (DNS-322L)
- (DNS-1550-04)

Тип ПО

ПО сетевого программно-аппаратного средства
Сетевое средство
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройству;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 85%
0.02587
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-8212

CVSS3: 6.3
nvd
больше 1 года назад

A vulnerability was found in D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 and DNS-1550-04 up to 20240814. It has been rated as critical. This issue affects the function cgi_FMT_R12R5_2nd_DiskMGR of the file /cgi-bin/hd_config.cgi. The manipulation of the argument f_source_dev leads to command injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. NOTE: Vendor was contacted early and confirmed that the product is end-of-life. It should be retired and replaced.

github логотип

GHSA-2hph-w7cx-74wr

CVSS3: 6.3
github
больше 1 года назад

A vulnerability was found in D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 and DNS-1550-04 up to 20240814. It has been rated as critical. This issue affects the function cgi_FMT_R12R5_2nd_DiskMGR of the file /cgi-bin/hd_config.cgi. The manipulation of the argument f_source_dev leads to command injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. NOTE: Vendor was contacted early and confirmed that the product is end-of-life. It should be retired and replaced.

EPSS

Процентиль: 85%
0.02587
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2