BDU:2023-06885: Уязвимость компонента jingx.asp микропрограммного обеспечения маршрутизаторов D-Link DI-7003GV2, DI-7100G, DI-7100GV2, DI-7200G, DI-7200GV2, DI-7300G и DI-7400G, позволяющая нарушителю выполнить произвольный код

Описание уязвимости

Уязвимость компонента jingx.asp микропрограммного обеспечения маршрутизаторов D-Link DI-7003GV2, DI-7100G, DI-7100GV2, DI-7200G, DI-7200GV2, DI-7300G и DI-7400G связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью параметра ip/type

Вендор

D-Link Corp.

Наименование ПО

DI-7003GV2, DI-7100G, DI-7100GV2, DI-7200G, DI-7300G, DI-7400G

Версия ПО

  • до 23.08.25D1 включительно (DI-7003GV2)
  • до 23.08.23d1 включительно (DI-7100G)
  • до 23.08.23d1 включительно (DI-7100GV2)
  • до 23.08.23D1 включительно (DI-7200G)
  • до 23.08.23E1 включительно (DI-7200G)
  • до 23.08.23D1 включительно (DI-7300G)
  • до 23.08.23D1 включительно (DI-7400G)

Тип ПО

Сетевое средство, ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Данные уточняются

Тип ошибки

Запись за границами буфера

Идентификатор типа ошибки

Класс уязвимости

Уязвимость кода

Дата выявления

16.10.2023

Базовый вектор уязвимости

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Способ эксплуатации

  • Манипулирование структурами данных

Способ устранения

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Идентификаторы других систем описаний уязвимостей

Прочая информация

Данные уточняются
Последние изменения