W routerze Netgear DGND3700 w wersji firmware 1.1.00.15_1.00.15NA wykryto krytyczną podatność umożliwiającą obejście mechanizmu Basic Authentication poprzez dostęp do pliku /BRS_top.html. Atakujący zdalny, bez żadnych poświadczeń, może uzyskać nieautoryzowany dostęp do urządzenia.
▸ Pokaż oryginał (EN)
A vulnerability, which was classified as very critical, was found in Netgear DGND3700 1.1.00.15_1.00.15NA. This affects an unknown part of the file /BRS_top.html of the component Basic Authentication. The manipulation leads to improper authentication. It is possible to initiate the attack remotely. The exploit has been disclosed to the public and may be used. Other products might be affected as well. The vendor was contacted early about this disclosure.
Podatność polega na nieprawidłowej implementacji uwierzytelniania (CWE-287) w komponencie obsługującym plik /BRS_top.html. Zasób ten jest dostępny bez wymaganego uwierzytelnienia, co pozwala atakującemu na ominięcie mechanizmu Basic Authentication. Atak może być przeprowadzony zdalnie przez sieć, bez interakcji użytkownika i bez żadnych uprawnień wstępnych. Exploit został upubliczniony i może być aktywnie wykorzystywany.
Atakujący może uzyskać nieautoryzowany dostęp do chronionych zasobów urządzenia, co zagraża poufności, integralności i dostępności systemu. Może to prowadzić do przejęcia kontroli nad routerem i modyfikacji jego konfiguracji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się monitorowanie oficjalnych komunikatów bezpieczeństwa Netgear pod adresem https://www.netgear.com/. Do czasu wydania poprawki zalecane jest ograniczenie dostępu do interfejsu zarządzania urządzenia poprzez firewall lub segmentację sieci.
Netgear DGND3700 z firmware w wersji 1.1.00.15_1.00.15NA. Według informacji producenta mogą być dotknięte również inne produkty Netgear.
Exploit został publicznie ujawniony (opublikowany na GitHub pod adresem wskazanym w referencjach). Producent został poinformowany o podatności przed jej ujawnieniem. Podatność może dotyczyć również innych produktów Netgear.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XNetgear Dgnd3700
HWNetgearv2Netgear Dgnd3700 Firmware
OSNetgear1.1.00.15_1.00.15na
Powiązane podatności
Certain NETGEAR devices allow unauthenticated access to critical .cgi and .htm pages via a substring ending wi...
A vulnerability is in the 'BSW_cxttongr.htm' page of the Netgear DGN2200, version DGN2200-V1.0.0.50_7.0.50, an...
Certain NETGEAR devices are affected by password exposure. This affects AC1450 before 2017-01-06, C6300 before...
A vulnerability, which was classified as problematic, has been found in Netgear DGND3700 1.1.00.15_1.00.15NA. ...
A vulnerability has been found in Netgear DGND3700 1.1.00.15_1.00.15NA and classified as problematic. This vul...