ГлавнаяБаза уязвимостей БДУ → BDU:2023-02947
10критическая

BDU:2023-02947

Уязвимость сценария ping.cgi встроенного программного обеспечения маршрутизатора NETGEAR DGN2200, позволяющая нарушителю выполнить произвольные команды и получить полный контроль над устройством
Опубликовано: 2023-05-31
Описание

Уязвимость сценария ping.cgi встроенного программного обеспечения маршрутизатора NETGEAR DGN2200 существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды операционной системы маршрутизатора и получить полный контроль над устройством с использованием метасимволов в параметре «ping_IPAddr» POST-запроса

Затрагиваемое ПО и версии
DGN2200 (до 10.0.0.50)
Способ устранения

Компенсирующие меры:
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование средств межсетевого экранирования с целью ограничения доступа к устройству.

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://www.securityfocus.com/bid/96463https://www.exploit-db.com/exploits/41459/https://www.exploit-db.com/exploits/41472/https://www.exploit-db.com/exploits/42257/https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Проверьте безопасность своего сайта и почты → Полная проверка домена