Netgear XR500 1.1.0.78_1.0.1 Environment Variable setupwizard.cgi SOAP_LOGIN_TOKEN Excesso de tampão
| CVSS Meta Pontuação Temporária | Preço atual do exploit (≈) | Nota de Interesse CTI |
|---|---|---|
| 8.8 | $5k-$25k | 0.00 |
Sumário
Uma vulnerabilidade foi encontrada em Netgear D3600, D6000, D6200, D7000, JR6150, PR2000, R6020, R6050, R6080, R6120, R6220, R6260, R6700v2, R6800, R6900v2, WNR2020 and XR500 1.1.0.78_1.0.1 e classificada como crítico. Afetado é uma função desconhecida do arquivo setupwizard.cgi do componente Environment Variable Handler. O tratamento do parâmetro SOAP_LOGIN_TOKEN leva a Excesso de tampão. Esta vulnerabilidade é conhecida como CVE-2021-34980. O ataque pode ser feito a partir da rede local. Não existe exploit disponível.
Detalhes
Uma vulnerabilidade foi encontrada em Netgear D3600, D6000, D6200, D7000, JR6150, PR2000, R6020, R6050, R6080, R6120, R6220, R6260, R6700v2, R6800, R6900v2, WNR2020 and XR500 1.1.0.78_1.0.1 e classificada como crítico. Afetado é uma função desconhecida do arquivo setupwizard.cgi do componente Environment Variable Handler. O tratamento do parâmetro SOAP_LOGIN_TOKEN leva a Excesso de tampão. Declarar o problema usando CWE resulta em CWE-121. O problema foi divulgado 14/01/2022. O comunicado está disponível para download em zerodayinitiative.com.
Esta vulnerabilidade é conhecida como CVE-2021-34980. A atribuição do CVE ocorreu em 17/06/2021. O ataque pode ser feito a partir da rede local. Detalhes técnicos estão disponíveis. A popularidade desta vulnerabilidade está abaixo da média. Não existe exploit disponível. Neste momento, o preço atual de um exploit pode ser cerca de USD $5k-$25k agora.
Está declarado como não definido. Como 0-day, o preço estimado no mercado negro era cerca de $25k-$100k.
Produto
Tipo
Fabricante
Nome
Versão
Licença
Site
- Fabricante: https://www.netgear.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vetor: 🔍VulDB Fiabilidade: 🔍
CVSSv3
VulDB Meta Pontuação Base: 8.8VulDB Meta Pontuação Temporária: 8.8
VulDB Pontuação Base: 8.8
VulDB Pontuação Temporária: 8.8
VulDB Vetor: 🔍
VulDB Fiabilidade: 🔍
CNA Pontuação Base: 8.8
CNA Vetor (Zero Day Initiative): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vector | Complexidade | Autenticação | Confidencialidade | Integridade | Disponibilidade |
|---|---|---|---|---|---|
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
| Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
VulDB Pontuação Base: 🔍
VulDB Pontuação Temporária: 🔍
VulDB Fiabilidade: 🔍
Exploração
Classe: Excesso de tampãoCWE: CWE-121 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍
Físico: Não
Local: Não
Remoto: Parcial
Disponibilidade: 🔍
Estado: Não definido
EPSS Score: 🔍
EPSS Percentile: 🔍
Tendência de preços: 🔍
Estimativa de preço atual: 🔍
| 0-Day | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
|---|---|---|---|---|
| Hoje | Desbloquear | Desbloquear | Desbloquear | Desbloquear |
Inteligência de ameaças
Interesse: 🔍Atores ativos: 🔍
Grupos APT ativos: 🔍
Contramedidas
Recomendação: nenhuma medida conhecidaEstado: 🔍
Tempo 0-dia: 🔍
Linha do tempo
17/06/2021 🔍14/01/2022 🔍
14/01/2022 🔍
17/01/2022 🔍
Fontes
Fabricante: netgear.comAconselhamento: zerodayinitiative.com
Estado: Confirmado
Confirmação: 🔍
CVE: CVE-2021-34980 (🔍)
GCVE (CVE): GCVE-0-2021-34980
GCVE (VulDB): GCVE-100-190405
Entrada
Criado: 14/01/2022 13h40Atualizado: 17/01/2022 14h15
Ajustamentos: 14/01/2022 13h40 (51), 17/01/2022 14h15 (1)
Completo: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Ainda sem comentários. Idiomas: pt + es + en.
Por favor, inicie sessão para comentar.