Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

BDU:2023-06258

CVSS: 6.3

24.09.2023

Уязвимость сценария /sysmanage/updatelib.php микропрограммного обеспечения маршрутизаторов D-Link DAR-8000 и DAR-7000, позволяющая нарушителю выполнять произвольные команды

Уязвимость сценария /sysmanage/updatelib.php микропрограммного обеспечения маршрутизаторов D-Link DAR-8000 и DAR-7000 связана с неограниченной загрузкой файлов опасного типа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды

Статус уязвимости:	Подтверждена производителем Информация об устранении отсутствует
Дата выявления:	24.09.2023
Класс уязвимости:	Уязвимость кода
Наличие эксплойта:	Существует в открытом доступе
Способ эксплуатации:	Подмена при взаимодействии
Способ устранения:	Нет данных
Меры по устранению:	Компенсирующие меры: - использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству; - ограничение доступа к устройству из внешних сетей (Интернет); - использование средств межсетевого экранирования с целью ограничения доступа к устройству.

Идентификатор типа ошибки

Идентификатор, установленный в соответствии с общим перечнем ошибок CWE

Идентификатор	Описание
CWE-434	Отсутствие ограничений на загрузку файлов небезопасного типа

Идентификаторы CVE уязвимостей

Идентификатор, базы данных общеизвестных уязвимостей информационной безопасности

Идентификатор	Описание
CVE-2023-5146	D-Link DAR-7000/DAR-8000 updatelib.php unrestricted upload

CVSS

Система общей оценки уязвимостей

Оценка	Severity	Версия	Базовый вектор
6.5	MEDIUM	2.0	AV:N/AC:L/Au:S/C:P/I:P/A:P
6.3	MEDIUM	3.0	AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Идентификаторы других систем описаний уязвимостей

CVE-2023-5146

Вендор:	D-Link Corp.
Тип ПО:	ПО сетевого программно-аппаратного средства
Наименование ПО:	DAR-8000 DAR-7000
Версия ПО:	31R02B1413C (DAR-8000) 31R02B1413C (DAR-7000)
Ссылки на источники:	https://github.com/llixixi/cve/blob/main/D-LINK-DAR-7000_upload_%20updatelib.md https://github.com/llixixi/cve/blob/main/D-LINK-DAR-8000-10_upload_%20updatelib.md https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10354 https://vuldb.com/?id.240242

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.

Каталог уязвимостей - БДУ ФСТЭК - BDU:2023-06258