Описание
Уязвимость функции setDeviceURL() (/goform/setDeviceURL) микропрограммного обеспечения маршрутизаторов Linksys RE6500, RE6250, RE6300, RE6350, RE7000 и RE9000 связана с манипулированием аргументом DeviceURL. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды
Вендор
Linksys Holdings, Inc.
Наименование ПО
RE6500
RE6250
RE6300
RE6350
RE7000
RE9000
Версия ПО
1.0.013.001 (RE6500)
1.0.04.001 (RE6250)
1.2.07.001 (RE6300)
1.0.04.001 (RE6350)
1.1.05.003 (RE7000)
1.0.04.002 (RE9000)
Тип ПО
Сетевое средство
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,3)
Средний уровень опасности (оценка CVSS 4.0 составляет 5,3)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройствам;
- ограничение доступа из внешних сетей (Интернет);
- отключение/ограничение функции удаленного управления для предотвращения попыток эксплуатации уязвимости (например, запрет использования незащищенных протоколов, таких как HTTP или Telnet);
- соблюдение парольной политики принятой для организации доступа к устройству;
- сегментирование сети для ограничения доступа к уязвимому устройству;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Статус уязвимости
Потенциальная уязвимость
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимостей
- CVE
6.3 Medium
CVSS3
6.5 Medium
CVSS2
6.3 Medium
CVSS3
6.5 Medium
CVSS2