CVE-2019-15055

Опубликовано: 26 авг. 2019

Источник: nvd

CVSS3: 6.5

CVSS2: 5.5

EPSS Низкий

Описание

MikroTik RouterOS through 6.44.5 and 6.45.x through 6.45.3 improperly handles the disk name, which allows authenticated users to delete arbitrary files. Attackers can exploit this vulnerability to reset credential storage, which allows them access to the management interface as an administrator without authentication.

Ссылки

https://fortiguard.com/zeroday/FG-VD-19-108
Third Party Advisory
https://forum.mikrotik.com/viewtopic.php?t=151603
https://github.com/tenable/routeros/tree/master/poc/cve_2019_15055
Exploit
Third Party Advisory
https://medium.com/tenable-techblog/rooting-routeros-with-a-usb-drive-16d7b8665f90
Press/Media Coverage
Third Party Advisory
https://mikrotik.com/download/changelogs/testing-release-tree
Release Notes
Vendor Advisory
https://fortiguard.com/zeroday/FG-VD-19-108
Third Party Advisory
https://forum.mikrotik.com/viewtopic.php?t=151603
https://github.com/tenable/routeros/tree/master/poc/cve_2019_15055
Exploit
Third Party Advisory
https://medium.com/tenable-techblog/rooting-routeros-with-a-usb-drive-16d7b8665f90
Press/Media Coverage
Third Party Advisory
https://mikrotik.com/download/changelogs/testing-release-tree
Release Notes
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:o:mikrotik:routeros:*:*:*:*:*:*:*:*

Версия до 6.44.5 (включая)

cpe:2.3:o:mikrotik:routeros:*:*:*:*:*:*:*:*

Версия от 6.45 (включая) до 6.45.3 (включая)

EPSS

Процентиль: 57%

0.00355

Низкий

6.5 Medium

CVSS3

5.5 Medium

CVSS2

Дефекты

CWE-22

Связанные уязвимости

GHSA-2722-rx7q-f2w5

github

около 3 лет назад

BDU:2019-03069

CVSS3: 8

fstec

почти 6 лет назад

Уязвимость операционной системы RouterOS маршрутизаторов MikroTik, существующая из-за недостаточной проверки входных данных, позволяющая нарушителю удалить произвольные файлы, получить доступ к целевой системе с привилегиями администратора и изменить пароль администратора