CVE-2024-39227

Опубликовано: 06 авг. 2024

Источник: nvd

CVSS3: 9.8

EPSS Низкий

Описание

GL-iNet products AR750/AR750S/AR300M/AR300M16/MT300N-V2/B1300/MT1300/SFT1200/X750 v4.3.11, MT3000/MT2500/AXT1800/AX1800/A1300/X300B v4.5.16, XE300 v4.3.16, E750 v4.3.12, AP1300/S1300 v4.3.13, and XE3000/X3000 v4.4 were discovered to contain insecure permissions in the endpoint /cgi-bin/glc. This vulnerability allows unauthenticated attackers to execute arbitrary code or possibly a directory traversal via crafted JSON data.

Ссылки

https://github.com/gl-inet/CVE-issues/blob/main/4.0.0/Access%20to%20the%20C%20library%20without%20logging%20in.md
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:gl-inet:mt6000_firmware:4.5.8:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:mt6000:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:gl-inet:a1300_firmware:4.5.16:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:a1300:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:gl-inet:x300b_firmware:4.5.16:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:x300b:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:o:gl-inet:ax1800_firmware:4.5.16:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:ax1800:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

cpe:2.3:o:gl-inet:axt1800_firmware:4.5.16:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:axt1800:-:*:*:*:*:*:*:*

Конфигурация 6

Одновременно

cpe:2.3:o:gl-inet:mt2500_firmware:4.5.16:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:mt2500:-:*:*:*:*:*:*:*

Конфигурация 7

Одновременно

cpe:2.3:o:gl-inet:mt3000_firmware:4.5.16:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:mt3000:-:*:*:*:*:*:*:*

Конфигурация 8

Одновременно

cpe:2.3:o:gl-inet:x3000_firmware:4.4.8:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:x3000:-:*:*:*:*:*:*:*

Конфигурация 9

Одновременно

cpe:2.3:o:gl-inet:xe3000_firmware:4.4.8:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:xe3000:-:*:*:*:*:*:*:*

Конфигурация 10

Одновременно

cpe:2.3:o:gl-inet:xe300_firmware:4.3.16:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:xe300:-:*:*:*:*:*:*:*

Конфигурация 11

Одновременно

cpe:2.3:o:gl-inet:e750_firmware:4.3.12:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:e750:-:*:*:*:*:*:*:*

Конфигурация 12

Одновременно

cpe:2.3:o:gl-inet:x750_firmware:4.3.11:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:x750:-:*:*:*:*:*:*:*

Конфигурация 13

Одновременно

cpe:2.3:o:gl-inet:sft1200_firmware:4.3.11:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:sft1200:-:*:*:*:*:*:*:*

Конфигурация 14

Одновременно

cpe:2.3:o:gl-inet:ar300m_firmware:4.3.11:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:ar300m:-:*:*:*:*:*:*:*

Конфигурация 15

Одновременно

cpe:2.3:o:gl-inet:ar300m16_firmware:4.3.11:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:ar300m16:-:*:*:*:*:*:*:*

Конфигурация 16

Одновременно

cpe:2.3:o:gl-inet:ar750_firmware:4.3.11:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:ar750:-:*:*:*:*:*:*:*

Конфигурация 17

Одновременно

cpe:2.3:o:gl-inet:ar750s_firmware:4.3.11:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:ar750s:-:*:*:*:*:*:*:*

Конфигурация 18

Одновременно

cpe:2.3:o:gl-inet:b1300_firmware:4.3.11:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:b1300:-:*:*:*:*:*:*:*

Конфигурация 19

Одновременно

cpe:2.3:o:gl-inet:mt1300_firmware:4.3.11:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:mt1300:-:*:*:*:*:*:*:*

Конфигурация 20

Одновременно

cpe:2.3:o:gl-inet:mt300n-v2_firmware:4.3.11:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:mt300n-v2:-:*:*:*:*:*:*:*

Конфигурация 21

Одновременно

cpe:2.3:o:gl-inet:ap1300_firmware:3.217:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:ap1300:-:*:*:*:*:*:*:*

Конфигурация 22

Одновременно

cpe:2.3:o:gl-inet:b2200_firmware:3.216:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:b2200:-:*:*:*:*:*:*:*

Конфигурация 23

Одновременно

cpe:2.3:o:gl-inet:mv1000_firmware:3.216:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:mv1000:-:*:*:*:*:*:*:*

Конфигурация 24

Одновременно

cpe:2.3:o:gl-inet:mv1000w_firmware:3.216:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:mv1000w:-:*:*:*:*:*:*:*

Конфигурация 25

Одновременно

cpe:2.3:o:gl-inet:usb150_firmware:3.216:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:usb150:-:*:*:*:*:*:*:*

Конфигурация 26

Одновременно

cpe:2.3:o:gl-inet:sf1200_firmware:3.216:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:sf1200:-:*:*:*:*:*:*:*

Конфигурация 27

Одновременно

cpe:2.3:o:gl-inet:n300_firmware:3.216:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:n300:-:*:*:*:*:*:*:*

Конфигурация 28

Одновременно

cpe:2.3:o:gl-inet:s1300_firmware:3.216:*:*:*:*:*:*:*

cpe:2.3:h:gl-inet:s1300:-:*:*:*:*:*:*:*

EPSS

Процентиль: 77%

0.01089

Низкий

9.8 Critical

CVSS3

Дефекты

CWE-74

CWE-75

Связанные уязвимости

GHSA-8j3m-968h-m85q

CVSS3: 9.8

github

больше 1 года назад

GL-iNet products AR750/AR750S/AR300M/AR300M16/MT300N-V2/B1300/MT1300/SFT1200/X750 v4.3.11, MT3000/MT2500/AXT1800/AX1800/A1300/X300B v4.5.16, XE300 v4.3.16, E750 v4.3.12, AP1300/S1300 v4.3.13, and XE3000/X3000 v4.4 were discovered to contain a shell injection vulnerability via the interface check_ovpn_client_config.

EPSS

Процентиль: 77%

0.01089

Низкий

9.8 Critical

CVSS3

Дефекты

CWE-74

CWE-75