Описание уязвимости | Уязвимость реализации сценария /goform/form2systime.cgi микропрограммного обеспечения маршрутизаторов D-Link DIR-816 A2 существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды через метасимволы оболочки в параметре datetime |
Вендор | D-Link Corp. |
Наименование ПО | D-Link DIR-816 A2 |
Версия ПО | 1.10 B05 |
Тип ПО | ПО сетевого программно-аппаратного средства |
Операционные системы и аппаратные платформы | Данные уточняются |
Тип ошибки | Непринятие мер по защите структуры веб-страницы (или \«Межсайтовая сценарная атака\») |
Идентификатор типа ошибки | CWE-79 |
Класс уязвимости | Уязвимость кода |
Дата выявления | 15.09.2018 |
Базовый вектор уязвимости |
|
Уровень опасности уязвимости | Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10) Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8) |
Возможные меры по устранению уязвимости |
Компенсирующие меры:
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству; - ограничение доступа к устройству из внешних сетей (Интернет); - использование средств межсетевого экранирования с целью ограничения доступа к устройству. |
Статус уязвимости | Потенциальная уязвимость |
Наличие эксплойта | Существует в открытом доступе |
Способ эксплуатации |
|
Способ устранения | Данные уточняются |
Информация об устранении | Информация об устранении отсутствует |
Ссылки на источники | |
Идентификаторы других систем описаний уязвимостей |
|
Прочая информация | Данные уточняются |