Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2018-18319

Опубликовано: 15 окт. 2018
Источник: nvd
CVSS3: 9.8
CVSS2: 7.5
EPSS Средний

Описание

An issue was discovered in the Merlin.PHP component 0.6.6 for Asuswrt-Merlin devices. An attacker can execute arbitrary commands because api.php has an eval call, as demonstrated by the /6/api.php?function=command&class=remote&Cc='ls' URI. NOTE: the vendor indicates that Merlin.PHP is designed only for use on a trusted intranet network, and intentionally allows remote code execution

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:asuswrt-merlin_project:rt-ac5300_firmware:*:*:*:*:*:*:*:*
Версия до 380.70 (включая)
cpe:2.3:h:asuswrt-merlin_project:rt-ac5300:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

cpe:2.3:o:asuswrt-merlin_project:rt_ac1900p_firmware:*:*:*:*:*:*:*:*
Версия до 380.70 (включая)
cpe:2.3:h:asuswrt-merlin_project:rt_ac1900p_:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

cpe:2.3:o:asuswrt-merlin_project:rt-ac68u_firmware:*:*:*:*:*:*:*:*
Версия до 380.70 (включая)
cpe:2.3:h:asuswrt-merlin_project:rt-ac68u:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

cpe:2.3:o:asuswrt-merlin_project:rt-ac68p_firmware:*:*:*:*:*:*:*:*
Версия до 380.70 (включая)
cpe:2.3:h:asuswrt-merlin_project:rt-ac68p:-:*:*:*:*:*:*:*
Конфигурация 5

Одновременно

cpe:2.3:o:asuswrt-merlin_project:rt-ac88u_firmware:*:*:*:*:*:*:*:*
Версия до 380.70 (включая)
cpe:2.3:h:asuswrt-merlin_project:rt-ac88u:-:*:*:*:*:*:*:*
Конфигурация 6

Одновременно

cpe:2.3:o:asuswrt-merlin_project:rt-ac66u_b1_firmware:*:*:*:*:*:*:*:*
Версия до 380.70 (включая)
cpe:2.3:h:asuswrt-merlin_project:rt-ac66u_b1:-:*:*:*:*:*:*:*
Конфигурация 7

Одновременно

cpe:2.3:o:asuswrt-merlin_project:rt-ac56u_firmware:*:*:*:*:*:*:*:*
Версия до 380.70 (включая)
cpe:2.3:h:asuswrt-merlin_project:rt-ac56u:-:*:*:*:*:*:*:*
Конфигурация 8

Одновременно

cpe:2.3:o:asuswrt-merlin_project:rt-ac3200_firmware:*:*:*:*:*:*:*:*
Версия до 380.70 (включая)
cpe:2.3:h:asuswrt-merlin_project:rt-ac3200:-:*:*:*:*:*:*:*
Конфигурация 9

Одновременно

cpe:2.3:o:asuswrt-merlin_project:rt-ac68uf_firmware:*:*:*:*:*:*:*:*
Версия до 380.70 (включая)
cpe:2.3:h:asuswrt-merlin_project:rt-ac68uf:-:*:*:*:*:*:*:*
Конфигурация 10

Одновременно

cpe:2.3:o:asuswrt-merlin_project:rt-ac87_firmware:*:*:*:*:*:*:*:*
Версия до 380.70 (включая)
cpe:2.3:h:asuswrt-merlin_project:rt-ac87:-:*:*:*:*:*:*:*
Конфигурация 11

Одновременно

cpe:2.3:o:asuswrt-merlin_project:rt-ac3100_firmware:*:*:*:*:*:*:*:*
Версия до 380.70 (включая)
cpe:2.3:h:asuswrt-merlin_project:rt-ac3100:-:*:*:*:*:*:*:*
Конфигурация 12

Одновременно

cpe:2.3:o:asuswrt-merlin_project:rt-ac1900_firmware:*:*:*:*:*:*:*:*
Версия до 380.70 (включая)
cpe:2.3:h:asuswrt-merlin_project:rt-ac1900:-:*:*:*:*:*:*:*
Конфигурация 13

Одновременно

cpe:2.3:o:asuswrt-merlin_project:rt-ac86u_firmware:*:*:*:*:*:*:*:*
Версия до 380.70 (включая)
cpe:2.3:h:asuswrt-merlin_project:rt-ac86u:-:*:*:*:*:*:*:*
Конфигурация 14

Одновременно

cpe:2.3:o:asuswrt-merlin_project:rt-ac2900_firmware:*:*:*:*:*:*:*:*
Версия до 380.70 (включая)
cpe:2.3:h:asuswrt-merlin_project:rt-ac2900:-:*:*:*:*:*:*:*

EPSS

Процентиль: 94%
0.13278
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-94

Связанные уязвимости

github логотип

GHSA-8334-vxcw-m5x6

CVSS3: 9.8
github
больше 3 лет назад

** DISPUTED ** An issue was discovered in the Merlin.PHP component 0.6.6 for Asuswrt-Merlin devices. An attacker can execute arbitrary commands because api.php has an eval call, as demonstrated by the /6/api.php?function=command&class=remote&Cc='ls' URI. NOTE: the vendor indicates that Merlin.PHP is designed only for use on a trusted intranet network, and intentionally allows remote code execution.

EPSS

Процентиль: 94%
0.13278
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

CWE-94