ГлавнаяБаза уязвимостей БДУ → BDU:2023-03303
10критическая

BDU:2023-03303

Уязвимость функции httpd unescape файла cgi.c микропрограммного обеспечения Asuswrt-Merlin New Gen, позволяющая нарушителю вызвать повреждение памяти
Опубликовано: 2023-06-21
Описание

Уязвимость функции httpd unescape файла cgi.c микропрограммного обеспечения Asuswrt-Merlin New Gen связана с выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать повреждение памяти путём отправки специально сформированного HTTP-запроса

Затрагиваемое ПО и версии
asuswrt (до 3.0.0.4.386_48706)Asuswrt-Merlin (до 386.7)XT8 (до 3.0.0.4.386_48706)TUF-AX3000_V2 (до 3.0.0.4.386_48750)XD4 (до 3.0.0.4.386_48790)ET12 (до 3.0.0.4.386_48823)GT-AX6000 (до 3.0.0.4.386_48823)XT12 (до 3.0.0.4.386_48823)RT-AX58U (до 3.0.0.4.386_48908)XT9 (до 3.0.0.4.388_20027)XD6 (до 3.0.0.4.386_49356)GT-AX11000 PRO (до 3.0.0.4.386_48996)GT-AXE16000 (до 3.0.0.4.386_48786)RT-AX86U (до 3.0.0.4.386_49447)RT-AX68U (до 3.0.0.4.386_49479)RT-AX56U (до 3.0.0.4.386_49380)RT-AX82U (до 3.0.0.4.386_49559)RT-AX55 (до 3.0.0.4.386_49559)GT-AX11000 (до 3.0.0.4.386_49559)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование микропрограммного обеспечения (прошивки), полученного из доверенных источников;
- использование средств межсетевого экранирования уровня веб-приложений;
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимостей;
- ограничение доступа к устройству из внешних сетей (Интернет).

Использование рекомендаций:
https://www.asus.com/content/asus-product-security-advisory/

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://talosintelligence.com/vulnerability_reports/TALOS-2022-1511https://www.asus.com/content/asus-product-security-advisory/https://vuldb.com/ru/?id.205788
Проверьте безопасность своего сайта и почты → Полная проверка домена