CVE-2024-12847

Опубликовано: 10 янв. 2025

Источник: nvd

CVSS3: 9.8

EPSS Средний

Описание

NETGEAR DGN1000 before 1.1.00.48 is vulnerable to an authentication bypass vulnerability. A remote and unauthenticated attacker can execute arbitrary operating system commands as root by sending crafted HTTP requests to the setup.cgi endpoint. This vulnerability has been observed to be exploited in the wild since at least 2017 and specifically by the Shadowserver Foundation on 2025-02-06 UTC.

Ссылки

https://seclists.org/bugtraq/2013/Jun/8
Mailing List
Third Party Advisory
https://vulncheck.com/advisories/netgear-dgn
Vendor Advisory
https://www.exploit-db.com/exploits/25978
Exploit
Third Party Advisory
VDB Entry
https://www.exploit-db.com/exploits/43055
Exploit
VDB Entry

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:netgear:dgn1000_firmware:*:*:*:*:*:*:*:*

Версия до 1.1.00.48 (исключая)

cpe:2.3:h:netgear:dgn1000:-:*:*:*:*:*:*:*

EPSS

Процентиль: 99%

0.67076

Средний

9.8 Critical

CVSS3

Дефекты

CWE-78

CWE-306

Связанные уязвимости

GHSA-pq8m-gwqp-g9xv

CVSS3: 9.8

github

около 1 года назад

BDU:2025-00227

CVSS3: 9.8

fstec

около 1 года назад

Уязвимость встроенного программного обеспечения маршрутизатора NETGEAR DGN1000, связанная с обходом процедуры аутентификации посредством использования альтернативного пути или канала, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 99%

0.67076

Средний

9.8 Critical

CVSS3

Дефекты

CWE-78

CWE-306