CRITICAL🇬🇧 English

CVE-2024-23629

Authentication bypass w routerze Motorola MR2600 — dostęp do chronionych zasobów

CVSS 9.6v3.1pub. 2024-01-26upd. 2024-11-21

W komponencie webowym routera Motorola MR2600 istnieje podatność typu authentication bypass, umożliwiająca nieautoryzowany dostęp do chronionych zasobów. Atakujący w sieci lokalnej może bez uwierzytelnienia uzyskać dostęp do wrażliwych informacji przechowywanych na urządzeniu.

Pokaż oryginał (EN)

An authentication bypass vulnerability exists in the web component of the Motorola MR2600. An attacker can exploit this vulnerability to access protected URLs and retrieve sensitive information.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej weryfikacji tożsamości użytkownika (CWE-287) oraz błędnej autoryzacji dostępu do zasobów (CWE-863) w interfejsie webowym urządzenia. Atakujący może bezpośrednio odwoływać się do chronionych adresów URL z pominięciem mechanizmów uwierzytelniania. W efekcie możliwe jest pobranie wrażliwych danych bez konieczności posiadania jakichkolwiek poświadczeń.

Skutki

Atakujący uzyskuje nieautoryzowany dostęp do chronionych sekcji interfejsu webowego routera i może pobrać wrażliwe informacje z urządzenia. Wysoki wynik CVSS (9.6) wskazuje na możliwość poważnego naruszenia poufności, integralności oraz dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu do interfejsu zarządzania routerem wyłącznie do zaufanych hostów w sieci lokalnej oraz wyłączenie zdalnego dostępu do panelu administracyjnego, jeśli nie jest wymagany.

Kogo dotyczy

Motorola MR2600 (firmware) — wersje wskazane w referencjach producenta

Uwagi

Szczegółowy opis techniczny podatności został opublikowany przez Exodus Intelligence w dniu 25 stycznia 2024 r. pod adresem blog.exodusintel.com.

CVSS Vector
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Motorola Mr2600

    HW
    Motorola
    wszystkie wersje
  • Motorola Mr2600 Firmware

    OS
    Motorola
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-23626CRITICAL9.0PL ✓ten sam produkt

Command injection w parametrze SaveSysLogParams routera Motorola MR2600

CVE-2024-23627CRITICAL9.0PL ✓ten sam produkt

Command injection w parametrze SaveStaticRouteIPv4Params routera Motorola MR2600

CVE-2024-23628CRITICAL9.0PL ✓ten sam produkt

Command injection w Motorola MR2600 — parametr SaveStaticRouteIPv6Params

CVE-2024-23630CRITICAL9.0PL ✓ten sam produkt

Motorola MR2600 – dowolny upload firmware umożliwiający RCE

CVE-2022-34885HIGH7.2ten sam produkt

An improper input sanitization vulnerability in the Motorola MR2600 router could allow a local user with eleva...

CVE-2024-23629 — Authentication bypass w routerze Motorola MR2600 — dostęp do chronionych zasobów — CRITICAL 9.6 | CVEbaza.pl