BDU:2024-04003: Уязвимость функции formWlEncrypt микропрограммного обеспечения роутеров Totolink AC1200, позволяющая нарушителю выполнить произвольные команды или вызвать отказ в обслуживании

Описание уязвимости Уязвимость функции formWlEncrypt микропрограммного обеспечения роутеров Totolink AC1200 вызвана переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды или вызвать отказ в обслуживании
Вендор TOTOLink
Наименование ПО Totolink AC1200 Wireless Dual Band Gigabit Router A3002R_V4
Версия ПО 4.0.0-B20230531.1404
Тип ПО ПО сетевого программно-аппаратного средства
Операционные системы и аппаратные платформы Данные уточняются
Тип ошибки Копирование буфера без проверки размера входных данных (классическое переполнение буфера)
Идентификатор типа ошибки CWE-120
Класс уязвимости Уязвимость кода
Дата выявления 25.04.2024
Базовый вектор уязвимости
  • CVSS 2.0: AV:A/AC:L/Au:S/C:C/I:C/A:C
  • CVSS 3.0: AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Уровень опасности уязвимости Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,7) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Статус уязвимости Потенциальная уязвимость
Наличие эксплойта Существует в открытом доступе
Способ эксплуатации
  • Манипулирование структурами данных
Способ устранения Данные уточняются
Информация об устранении Информация об устранении отсутствует
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются