ASUS RP-AC52 sérülékenységei


2016. október 18. 09:04

CH azonosító

CH-13634

Angol cím

ASUS RP-AC52 vulnerabilities

Felfedezés dátuma

2016.10.16.

Súlyosság

Magas

Érintett rendszerek

ASUS

Érintett verziók

EA-N66
RP-N12
RP-N14
RP-N53
RP-AC56
WMP-N12

Összefoglaló

Az ASUS RP-AC52 vezeték nélküli hatótáv-kiterjesztő sérülékenységei váltak ismertté, amelyeket kihasználva a támadó cross site request forgery (XSRF) támadást hajthat végre vagy tetszőleges parancsot futtathat. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

Az első sérülékenységet az okozza, hogy az eszköz nem megfelelően szűri a felhasználótól érkezett kéréseket, így a támadó a felhasználó jogosutságaival végezhet műveleteket.

A második sérülékenységet a apply.cgi action_script paraméter hibája okozza. Amennyiben az action_script által biztosított bemenet nem tartalmazza a beégetett opciók egyikét sem, az a system() vagy eval() argumentumok valamelyikével fut le, mely tetszőleges kódfuttatásra ad lehetőséget.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen a 1.0.1.1q verzióra.

Támadás típusa

Cross-Site Request Forgery (CSRF)
execute code

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.kb.cert.org
CVE-2016-6557 - NVD CVE-2016-6557

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-64459 – Django SQL injection sérülékenység
CVE-2025-64458 – Django szolgáltatás megtagadás sérülékenység
CVE-2025-20354 – Cisco Unified Contact Center Express sérülékenysége
CVE-2025-20358 – Cisco Unified Contact Center Express sérülékenysége
CVE-2025-48703 – CWP Control Web Panel OS Command Injection sérülékenysége
CVE-2025-5947 – WordPress Service Finder plugin sérülékenysége
CVE-2025-11533 – WordPress Freeio plugin sérülékenysége
CVE-2025-5397 – JobMonster WordPress téma sérülékenysége
CVE-2025-11705 – WordPress Anti-Malware Security and Brute-Force Firewall plugin sérülékenysége
Tovább a sérülékenységekhez »