(Zero Day) NETGEAR R6700 httpd strtblupgrade Yığın Tabanlı Arabellek Taşması Uzaktan Kod Yürütme Güvenlik Açığı

CVE ID
CVSS SKOR6.3, (AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L)
ETKİLENEN ÜRETİCİNETGEAR
ETKİLENEN ÜRÜNR6700
ZAFİYET DETAYBu güvenlik açığı, ağa bitişik saldırganların etkilenen NETGEAR R6700 yönlendiricileri yüklemelerinde rasgele kod yürütmesine olanak tanır. Bu güvenlik açığından yararlanmak için kimlik doğrulaması gerekmez. Dize tablosu dosya yüklemelerinin işlenmesinde belirli bir kusur vardır. Dize tablosu dosyasındaki hazırlanmış bir gui_region, sabit uzunlukta yığın tabanlı bir arabellek taşmasını tetikleyebilir. Saldırgan, web sunucusu bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.
EK DETAYBu güvenlik açığı ZDI 120 günlük son tarihe göre düzeltme eki olmadan genel olarak duyurulmaktadır.

Güvenlik açığının niteliği göz önüne alındığında, göze çarpan hafifletme stratejisi, hizmetle etkileşimi güvenilir makinelere kısıtlamaktır. Yalnızca hizmetle meşru bir yordamsal ilişkisi olan istemcilerin ve sunucuların hizmetle iletişim kurmasına izin verilmelidir. Bu, özellikle güvenlik duvarı kuralları / beyaz liste ile çeşitli şekillerde gerçekleştirilebilir.
BİLDİRİM TARİHİ VE AKSİYONLAR2020-01-23 – Üreticiye mevcut bildirilen güvenlik açığı.
2020-06-15 – Üretici oluşan zafiyeti duyurma zamanı.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!