Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2022-06862: Уязвимость функции SetStaticRouteIPv4Settings() веб-интерфейса управления микропрограммного обеспечения маршрутизаторов D-Link DIR-1935, позволяющая нарушителю выполнить произвольный код

Основная информация
Подробнее

Описание уязвимости

Уязвимость функции SetStaticRouteIPv4Settings() веб-интерфейса управления микропрограммного обеспечения маршрутизаторов D-Link DIR-1935 связана с непринятием мер по очистке входных данных в введенной пользователем строке при обработке элемента StaticRouteIPv4Data. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

D-Link Corp.

Наименование ПО

D-Link DIR-1935

Версия ПО

до 1.03b02 включительно

Тип ПО

Сетевое средство, ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Данные уточняются

Тип ошибки

Непринятие мер по чистке данных на управляющем уровне (Внедрение в команду)

Идентификатор типа ошибки

CWE-77

Класс уязвимости

Уязвимость кода

Дата выявления

19.07.2022

Базовый вектор уязвимости

CVSS 2.0: AV:A/AC:L/Au:S/C:C/I:C/A:C

CVSS 3.0: AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,7)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10310

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Способ эксплуатации

Инъекция

Способ устранения

Обновление программного обеспечения

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://www.zerodayinitiative.com/advisories/ZDI-22-1498/
https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10310

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются

Последние изменения