Уязвимости в маршрутизаторах Netgear и D-Link, приводящие к удалённому выполнению кода
Автор
Сообщение
news_bot ®
Стаж: 6 лет 11 месяцев
Сообщений: 27286
Раскрыта информация об уязвимостях в маршрутизаторах Netgear и D-Link, позволяющих удалённо выполнить свой код на устройствах без прохождения аутентификации. Информация опубликована проектом Zero Day Initiative (ZDI), предоставляющем денежные вознаграждения за сообщения о неисправленных уязвимостях и проводящим соревнования Pwn2Own. Не понятно связаны ли раскрытые уязвимости с работами, представленными на декабрьском соревновании Pwn2Own в Торонто, на котором было успешно совершено 7 атак на маршрутизатор NETGEAR RAX30 AX2400 и две атаки на маршрутизатор TP-Link AX1800/Archer AX21.
- CVE-2023-35723 - уязвимость в прошивке маршрутизатора D-Link DIR-X3260, позволяющая без прохождения аутентификации удалённо выполнить свой код на устройстве с правами root. Проблема проявляется при обработке запросов SOAPAction в скрипте prog.cgi и вызвана отсутствием должной проверки входных данных перед их использованием для запуска команд через функцию system(). Уязвимость устранена в обновлении прошивки 1.04B01 (Beta-Hotfix).
- CVE-2023-35722 - уязвимость в маршрутизаторах NETGEAR RAX30, позволяющая удалённо выполнить свой код с правами root без прохождения аутентификации. Уязвимость проявляется при обработке запросов на сопоставления портов через UPnP и вызвана некорректной проверкой входных данных перед использованием в функции system(). Уязвимость устранена в обновлении прошивки 1.0.11.96_2_HOTFIX.
- CVE-2023-35721 - уязвимость в различных моделях маршрутизаторов NETGEAR, позволяющая в ходе MITM-атаки модифицировать загружаемое обновление прошивки и добиться выполнения своего кода с правами root. Уязвимости вызвана тем, что несмотря на использование HTTPS для шифрования канала связи при загрузке данных, на устройстве не выполнялась проверка корректности сертификата сервера. Для моделей RAX50 проблема
устранена в обновлении прошивки 1.0.15.128.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.zerodayinitiative....)
- OpenNews: Уязвимость в беспроводных точках доступа, позволяющая организовать перехват трафика
- OpenNews: Уязвимость в устройствах Netgear, эксплуатируемая на стадии до аутентификации
- OpenNews: На соревновании Pwn2Own в Торонто продемонстрированы эксплоиты для 63 новых уязвимостей
- OpenNews: Удалённо эксплуатируемая уязвимость в маршрутизаторах D-Link
- OpenNews: Уязвимость в устройствах на базе SoC Realtek, позволяющая выполнить код через отправку UDP-пакета
Похожие новости:
- Уязвимость в устройствах Netgear, эксплуатируемая на стадии до аутентификации
- Уязвимость в маршрутизаторах Netgear, приводящая к удалённому выполнению кода
- Уязвимости в устройствах NETGEAR, позволяющие получить доступ без аутентификации
- Компания D-Link присоединилась к инициативе по защите Linux от патентных претензий
- [Data Mining, Data Engineering] How to Recover RAID 5 Data from SAN D-Link DSN-1100
- [Информационная безопасность, Системное администрирование, Сетевые технологии, Сетевое оборудование, Интервью] Консилиум с D-Link: базовая настройка управляемого сетевого оборудования
- [Информационная безопасность] Security Week 26: уязвимости в роутерах D-Link и Netgear
- 0-day уязвимость в устройствах Netgear, позволяющая удалённо получить root-доступ
- [*nix] Установка Debian на Netgear Stora
- [Информационная безопасность] Security Week 42: аппаратные бэкдоры, уязвимость в Intel NUC
Теги для поиска: #_netgear, #_dlink
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Фев 04:40
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 11 месяцев |
|
|
Раскрыта информация об уязвимостях в маршрутизаторах Netgear и D-Link, позволяющих удалённо выполнить свой код на устройствах без прохождения аутентификации. Информация опубликована проектом Zero Day Initiative (ZDI), предоставляющем денежные вознаграждения за сообщения о неисправленных уязвимостях и проводящим соревнования Pwn2Own. Не понятно связаны ли раскрытые уязвимости с работами, представленными на декабрьском соревновании Pwn2Own в Торонто, на котором было успешно совершено 7 атак на маршрутизатор NETGEAR RAX30 AX2400 и две атаки на маршрутизатор TP-Link AX1800/Archer AX21.
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 03-Фев 04:40
Часовой пояс: UTC + 5