ASUS RP-AC52 sérülékenységei

CH azonosító

CH-13634

Angol cím

ASUS RP-AC52 vulnerabilities

Felfedezés dátuma

2016.10.16.

Súlyosság

Magas

Érintett rendszerek

ASUS

Érintett verziók

EA-N66
RP-N12
RP-N14
RP-N53
RP-AC56
WMP-N12

Összefoglaló

Az ASUS RP-AC52 vezeték nélküli hatótáv-kiterjesztő sérülékenységei váltak ismertté, amelyeket kihasználva a támadó cross site request forgery (XSRF) támadást hajthat végre vagy tetszőleges parancsot futtathat. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

Az első sérülékenységet az okozza, hogy az eszköz nem megfelelően szűri a felhasználótól érkezett kéréseket, így a támadó a felhasználó jogosutságaival végezhet műveleteket.

A második sérülékenységet a apply.cgi action_script paraméter hibája okozza. Amennyiben az action_script által biztosított bemenet nem tartalmazza a beégetett opciók egyikét sem, az a system() vagy eval() argumentumok valamelyikével fut le, mely tetszőleges kódfuttatásra ad lehetőséget.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

Frissítsen a 1.0.1.1q verzióra.