CRITICAL🇬🇧 English

CVE-2024-36491

Command Injection w urządzeniach FutureNet NXR/VXR/WXR (Century Systems)

CVSS 9.8v3.1pub. 2024-07-17upd. 2025-04-01

Podatność typu command injection w oprogramowaniu routerów FutureNet serii NXR, VXR i WXR firmy Century Systems umożliwia uwierzytelnionemu użytkownikowi administracyjnemu wykonanie dowolnych poleceń systemu operacyjnego. Ocena CVSS 9.8 wskazuje na krytyczny poziom zagrożenia dla poufności, integralności i dostępności urządzenia.

Pokaż oryginał (EN)

FutureNet NXR series, VXR series and WXR series provided by Century Systems Co., Ltd. allow an administrative user to execute an arbitrary OS command, obtain and/or alter sensitive information, and cause a denial-of-service (DoS) condition.

🤖 Analiza AI
Jak działa

Podatność (CWE-78) polega na braku odpowiedniej walidacji lub neutralizacji danych wejściowych przekazywanych do wywołań systemowych w interfejsie administracyjnym urządzenia. Zalogowany użytkownik z uprawnieniami administracyjnymi może skonstruować odpowiednio spreparowane dane wejściowe, które zostaną zinterpretowane jako polecenia systemu operacyjnego i wykonane w kontekście urządzenia. Wektor sieciowy (AV:N) oznacza, że atak może być przeprowadzony zdalnie przez sieć.

Skutki

Atakujący może wykonać dowolne polecenia OS na urządzeniu, uzyskać lub zmodyfikować wrażliwe informacje konfiguracyjne, a także doprowadzić do stanu odmowy usługi (DoS), powodując niedostępność urządzenia sieciowego.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.centurysys.co.jp/backnumber/nxr_common/20240716-01.html oraz https://www.centurysys.co.jp/backnumber/nxr_common/20240716-03.html). Dodatkowo zaleca się ograniczenie dostępu do interfejsu administracyjnego wyłącznie do zaufanych adresów IP oraz unikanie wystawiania panelu administracyjnego bezpośrednio na internet.

Kogo dotyczy

Urządzenia FutureNet NXR-1300, NXR-155/C, NXR-610X, NXR-G050, NXR-G060 oraz inne urządzenia serii NXR, VXR i WXR firmy Century Systems Co., Ltd. — dokładne wersje firmware wskazane w referencjach producenta.

Uwagi

Podatność dotyczy wyłącznie użytkownika z uprawnieniami administracyjnymi (mimo wektora CVSS PR:N, opis EN wskazuje na wymóg posiadania konta administratora). Informacja o podatności została opublikowana w japońskiej bazie JVN (JVNVU96424864). Poprawki zostały udostępnione przez producenta w dniu 16 lipca 2024 r.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Centurysys Futurenet Nxr 1200

    HW
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 1200 Firmware

    OS
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 120\/c

    HW
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 120\/c Firmware

    OS
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 125\/cx Firmware

    OS
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 1300 Firmware

    OS
    Centurysys
    < 7.4.10
  • Centurysys Futurenet Nxr 130\/c

    HW
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 130\/c Firmware

    OS
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 155\/c Firmware

    OS
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 160\/lw

    HW
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 160\/lw Firmware

    OS
    Centurysys
    < 21.8.4
  • Centurysys Futurenet Nxr 230\/c

    HW
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 230\/c Firmware

    OS
    Centurysys
    < 5.30.13
  • Centurysys Futurenet Nxr 350\/c

    HW
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 350\/c Firmware

    OS
    Centurysys
    < 5.30.9c
  • Centurysys Futurenet Nxr 530

    HW
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr 530 Firmware

    OS
    Centurysys
    < 21.11.14
  • Centurysys Futurenet Nxr 610x Firmware

    OS
    Centurysys
    < 21.14.11c
  • Centurysys Futurenet Nxr 650 Firmware

    OS
    Centurysys
    < 21.16.2
  • Centurysys Futurenet Nxr G050 Firmware

    OS
    Centurysys
    < 21.12.10
  • Centurysys Futurenet Nxr G060 Firmware

    OS
    Centurysys
    < 21.15.6
  • Centurysys Futurenet Nxr G100 Firmware

    OS
    Centurysys
    < 6.23.11
  • Centurysys Futurenet Nxr G110 Firmware

    OS
    Centurysys
    < 21.7.32
  • Centurysys Futurenet Nxr G120 Firmware

    OS
    Centurysys
    < 21.15.2c
  • Centurysys Futurenet Nxr G180\/l Ca

    HW
    Centurysys
    wszystkie wersje
  • Centurysys Futurenet Nxr G180\/l Ca Firmware

    OS
    Centurysys
    < 21.7.28c
  • Centurysys Futurenet Nxr G200 Firmware

    OS
    Centurysys
    < 9.12.16
  • Centurysys Futurenet Vxr X64

    OS
    Centurysys
    < 21.7.32
  • Centurysys Futurenet Vxr X86

    OS
    Centurysys
    < 10.1.5
  • Centurysys Futurenet Wxr 250

    HW
    Centurysys
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2024-31070CRITICAL9.1PL ✓ten sam produkt

Auth Bypass w FutureNet NXR/VXR/WXR — nieograniczony dostęp do usługi Telnet

CVE-2024-36475HIGH8.8ten sam produkt

FutureNet NXR series, VXR series and WXR series provided by Century Systems Co., Ltd. contain an active debug ...

CVE-2008-6449MEDIUM4.0ten sam vendor

Cross-site request forgery (CSRF) vulnerability in multiple Century Systems routers including XR-410 before 1....