ASUS RP-AC52 sérülékenységei


2016. október 18. 09:04

CH azonosító

CH-13634

Angol cím

ASUS RP-AC52 vulnerabilities

Felfedezés dátuma

2016.10.16.

Súlyosság

Magas

Érintett rendszerek

ASUS

Érintett verziók

EA-N66
RP-N12
RP-N14
RP-N53
RP-AC56
WMP-N12

Összefoglaló

Az ASUS RP-AC52 vezeték nélküli hatótáv-kiterjesztő sérülékenységei váltak ismertté, amelyeket kihasználva a támadó cross site request forgery (XSRF) támadást hajthat végre vagy tetszőleges parancsot futtathat. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

Az első sérülékenységet az okozza, hogy az eszköz nem megfelelően szűri a felhasználótól érkezett kéréseket, így a támadó a felhasználó jogosutságaival végezhet műveleteket.

A második sérülékenységet a apply.cgi action_script paraméter hibája okozza. Amennyiben az action_script által biztosított bemenet nem tartalmazza a beégetett opciók egyikét sem, az a system() vagy eval() argumentumok valamelyikével fut le, mely tetszőleges kódfuttatásra ad lehetőséget.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen a 1.0.1.1q verzióra.

Támadás típusa

Cross-Site Request Forgery (CSRF)
execute code

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.kb.cert.org
CVE-2016-6557 - NVD CVE-2016-6557

Legfrissebb sérülékenységek
CVE-2023-6448 – Unitronics Vision Series PLC sérülékenysége
CVE-2023-33106 – Qualcomm Multiple Chipsets sérülékenység
CVE-2023-33107 – Qualcomm Multiple Chipsets sérülékenysége
CVE-2023-33063 – Qualcomm Multiple Chipsets sérülékenység
CVE-2023-40088 – Android sérülékenysége
CVE-2023-40076 – Android sérülékenysége
CVE-2023-40077 – Android sérülékenysége
CVE-2023-49093 – HtmlUnit sérülékenysége
CVE-2023-42917 – Apple iOS sérülékenysége
CVE-2023-42916 – Apple iOS sérülékenysége
Tovább a sérülékenységekhez »