Множественные уязвимости в маршрутизаторах SOHO
| Дата публикации: | 03.06.2015 |
| Всего просмотров: | 1951 |
| Опасность: | Высокая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 11 |
| CVSSv2 рейтинг: | 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) 5 (AV:N/AC:L/Au:N/C:N/I:P/A:N/E:U/RL:U/RC:C) 7.8 (AV:N/AC:L/Au:N/C:N/I:N/A:C/E:U/RL:U/RC:C) 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:U/RC:C) 5 (AV:N/AC:L/Au:N/C:P/I:N/A:N/E:U/RL:U/RC:C) 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:U/RC:C) 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:U/RC:C) 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:U/RC:C) 7.5 (AV:N/AC:L/Au:N/C:P/I:P/A:P/E:U/RL:U/RC:C) 10 (AV:N/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:U/RC:C) |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: |
Межсайтовый скриптинг Отказ в обслуживании Раскрытие важных данных Обход ограничений безопасности Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: |
Linksys WRT54GL 4.x
D-Link DIR-600 Observa Telecom AW4062 Comtrend WAP-5813n Comtrend CT-5365 D-Link DSL-2750B Belkin F5D7632-4 Sagem LiveBox Pro 2 SP Amper Xavi 7968 Amper Xavi 7968+ Sagem Fast 1201 Observa Telecom RTA01N |
| Уязвимые версии: | Observa Telecom AW4062
Comtrend WAP-5813n Comtrend CT-5365 D-Link DSL-2750B Belkin F5D7632-4 Sagem LiveBox Pro 2 SP Amper Xavi 7968 and 7968+ Sagem Fast 1201 Linksys WRT54GL Observa Telecom RTA01N Observa Telecom Home Station BHS-RTA Observa Telecom VH4032N Huawei HG553 Huawei HG556a Astoria ARV7510 Amper ASL-26555 Comtrend AR-5387un Netgear CG3100D Comtrend VG-8050 Zyxel P 660HW-B1A Comtrend 536+ D-Link DIR-600 |
| Описание: | Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему. 1. Множественные уязвимости существуют из-за неизвестных ошибок при обработке входных данных. Удаленный пользователь может с помощью специально сформированной ссылки выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 2. Множественные уязвимости существуют из-за неизвестных ошибок при обработке входных данных. Удаленный пользователь может с помощью специально сформированной ссылки выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. 3. Множественные уязвимости существуют из-за недостаточной проверки подлинности HTTP запросов. Удаленный пользователь может с помощью специально сформированной ссылки осуществить CSRF нападение. 4. Уязвимости существуют из-за различных множественных ошибок. Удаленный пользователь может вызвать отказ в обслуживании устройства. 5. Уязвимость существует из-за того, что устройство не ограничивает доступ сторонних пользователей к файлу config.xml. Удаленный пользователь может раскрыть административные учетные данные. 6. Уязвимости существуют из-за различных множественных ошибок. Удаленный пользователь может получить доступ к важным данным. 7. Уязвимость существует из-за наличия бэкдора в прошивке устройств. Удаленный пользователь может выполнить произвольный код. 8. Уязвимость существует из-за ошибки при обработке SMB Symlinks. Удаленный пользователь может с помощью специально сформированной символической ссылки обойти механизм аутентификации. 9. Уязвимости существуют из-за различных множественных ошибок. Удаленный пользователь может обойти ограничения безопасности, установленные в USB Device Bypass Authentication. 10. Уязвимости существуют из-за различных множественных ошибок. Удаленный пользователь может обойти механизм аутентификации. 11. Уязвимости существуют из-за различных множественных ошибок, связанных с Plug and Play. Удаленный пользователь может выполнить произвольный код. |
| Ссылки: | http://seclists.org/fulldisclosure/2015/May/129 |