Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-07548

Опубликовано: 04 апр. 2024
Источник: fstec
CVSS3: 8.8
CVSS2: 9
EPSS Низкий

Описание

Уязвимость функции cgi_FMT_R12R5_3rd_DiskMGR() (/cgi-bin/hd_config.cgi) микропрограммного обеспечения устройств D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726 -4, DNS-1100-4, DNS-1200-05 и DNS-1550-04 связана с непринятием мер по чистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды с помощью специально сформированного POST-запроса

Вендор

D-Link Corp.

Наименование ПО

DNS-320L
DNS-325
DNS-340L
DNS-120
DNR-202L
DNS-315L
DNS-320
DNS-320LW
DNS-321
DNS-323
DNS-326
DNS-327L
DNR-326
DNS-343
DNS-345
DNS-726-4
DNS-1100-4
DNS-1200-05
DNS-322L
DNS-1550-04

Версия ПО

- (DNS-320L)
- (DNS-325)
- (DNS-340L)
- (DNS-120)
- (DNR-202L)
- (DNS-315L)
- (DNS-320)
- (DNS-320LW)
- (DNS-321)
- (DNS-323)
- (DNS-326)
- (DNS-327L)
- (DNR-326)
- (DNS-343)
- (DNS-345)
- (DNS-726-4)
- (DNS-1100-4)
- (DNS-1200-05)
- (DNS-322L)
- (DNS-1550-04)

Тип ПО

ПО сетевого программно-аппаратного средства
Сетевое средство
Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN)

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 85%
0.02587
Низкий

8.8 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-8210

CVSS3: 6.3
nvd
больше 1 года назад

A vulnerability was found in D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 and DNS-1550-04 up to 20240814. It has been classified as critical. This affects the function sprintf of the file /cgi-bin/hd_config.cgi. The manipulation of the argument f_mount leads to command injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. NOTE: Vendor was contacted early and confirmed that the product is end-of-life. It should be retired and replaced.

github логотип

GHSA-vwcr-cpgw-p977

CVSS3: 6.3
github
больше 1 года назад

A vulnerability was found in D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 and DNS-1550-04 up to 20240814. It has been classified as critical. This affects the function sprintf of the file /cgi-bin/hd_config.cgi. The manipulation of the argument f_mount leads to command injection. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. NOTE: Vendor was contacted early and confirmed that the product is end-of-life. It should be retired and replaced.

EPSS

Процентиль: 85%
0.02587
Низкий

8.8 High

CVSS3

9 Critical

CVSS2