Описание
Уязвимость компонента jhttpd микропрограммного обеспечения маршрутизатора D-Link DI-500WF связана с непринятием мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды
Вендор
D-Link Corp.
Наименование ПО
DI-500WF
Версия ПО
14.04.10A1T (DI-500WF)
Тип ПО
ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,8)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,7)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- отключить удаленный доступ к интерфейсу управления устройством;
- настройка брандмауэра для блокировки подозрительных запросов к файлу /version_upgrade.asp;
- развернуть WAF перед устройством для фильтрации вредоносных запросов;
- изоляция устройства в отдельной VLAN или сетевом сегменте.
Статус уязвимости
Потенциальная уязвимость
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Информация об устранении отсутствует
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 52%
0.00287
Низкий
4.7 Medium
CVSS3
5.8 Medium
CVSS2
Связанные уязвимости
CVSS3: 4.7
nvd
около 2 месяцев назад
A security vulnerability has been detected in D-Link DI-500WF 14.04.10A1T. The impacted element is an unknown function of the file /version_upgrade.asp of the component jhttpd. The manipulation of the argument path leads to os command injection. The attack may be initiated remotely. The exploit has been disclosed publicly and may be used.
EPSS
Процентиль: 52%
0.00287
Низкий
4.7 Medium
CVSS3
5.8 Medium
CVSS2