Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-08340

Опубликовано: 26 сент. 2024
Источник: fstec
CVSS3: 8
CVSS2: 7.7
EPSS Низкий

Описание

Уязвимость функции SetVirtualServerSettings() сценария prog.cgi микропрограммного обеспечения маршрутизаторов D-Link DIR-878 и DIR-882 существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды путем отправки специально созданного POST-запроса

Вендор

D-Link Corp.

Наименование ПО

D-Link DIR-882
D-Link DIR-878

Версия ПО

FW130B06 (D-Link DIR-882)
FW130B08 (D-Link DIR-878)

Тип ПО

Сетевое средство
ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,7)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам;
- ограничение доступа из внешних сетей (Интернет);
- отключение функции удаленного управления для снижения риска несанкционированного доступа;
- использование сложных и длинных паролей;
- сегментирование сети;
- ограничение доступа к административному интерфейсу маршрутизатора;
- использование протокола HTTPS для поддержки шифрования в целях повышения безопасности;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 76%
0.01038
Низкий

8 High

CVSS3

7.7 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-48633

CVSS3: 8
nvd
8 месяцев назад

D-Link DIR_882_FW130B06 and DIR_878 DIR_878_FW130B08 were discovered to contain multiple command injection vulnerabilities via the ExternalPort, InternalPort, ProtocolNumber, and LocalIPAddress parameters in the SetVirtualServerSettings function. This vulnerability allows attackers to execute arbitrary OS commands via a crafted POST request.

github логотип

GHSA-22c8-79jr-rvwg

CVSS3: 8
github
8 месяцев назад

D-Link DIR_882_FW130B06 and DIR_878 DIR_878_FW130B08 were discovered to contain multiple command injection vulnerabilities via the ExternalPort, InternalPort, ProtocolNumber, and LocalIPAddress parameters in the SetVirtualServerSettings function. This vulnerability allows attackers to execute arbitrary OS commands via a crafted POST request.

EPSS

Процентиль: 76%
0.01038
Низкий

8 High

CVSS3

7.7 High

CVSS2