TOTOLINK N200RE V5 9.3.5u.6437_B20230519 Validity_check Format String

CVSS Meta Temp ScoreТекущая цена эксплойта (≈)Балл интереса CTI
8.5$0-$5k0.00

СводкаИнформация

Уязвимость была найдена в TOTOLINK N200RE V5 9.3.5u.6437_B20230519. Она была оценена как критический. Затронута неизвестная функция. Выполнение манипуляции приводит к Format String. Эта уязвимость обозначается как CVE-2023-4746. Есть возможность удалённого запуска атаки. Более того, существует эксплойт.

ПодробностиИнформация

Уязвимость была найдена в TOTOLINK N200RE V5 9.3.5u.6437_B20230519. Она была оценена как критический. Затронута неизвестная функция. Выполнение манипуляции приводит к Format String. Использование CWE для объявления проблемы приводит к тому, что CWE-134. Данная уязвимость была опубликована 03.09.2023. Консультация доступна для загрузки на gist.github.com.

Эта уязвимость обозначается как CVE-2023-4746. Есть возможность удалённого запуска атаки. Имеются технические подробности. Данная уязвимость менее популярна, чем в среднем. Более того, существует эксплойт. Эксплойт был раскрыт общественности и может быть использован. В настоящее время текущая цена эксплойта может составлять примерно USD $0-$5k.

Объявляется Доказательство концепции. Эксплойт можно скачать по ссылке gist.github.com. Как 0-day, оценочная цена на теневом рынке составляла примерно $0-$5k.

ПродуктИнформация

Поставщик

Имя

Версия

Лицензия

Веб-сайт

CPE 2.3Информация

CPE 2.2Информация

CVSSv4Информация

VulDB Вектор: 🔍
VulDB Надёжность: 🔍

CVSSv3Информация

VulDB Meta Base Score: 8.8
VulDB Meta Temp Score: 8.5

VulDB Базовый балл: 8.8
VulDB Временная оценка: 8.0
VulDB Вектор: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 8.8
NVD Вектор: 🔍

CNA Базовый балл: 8.8
CNA Вектор (VulDB): 🔍

CVSSv2Информация

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
ВекторСложностьАутентификацияКонфиденциальностьЦелостностьДоступность
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать
РазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокироватьРазблокировать

VulDB Базовый балл: 🔍
VulDB Временная оценка: 🔍
VulDB Надёжность: 🔍

NVD Базовый балл: 🔍

ЭксплуатацияИнформация

Класс: Format String
CWE: CWE-134 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Физический: Нет
Локальный: Нет
Удалённый: Да

Доступность: 🔍
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Прогноз цен: 🔍
Оценка текущей цены: 🔍

0-DayРазблокироватьРазблокироватьРазблокироватьРазблокировать
СегодняРазблокироватьРазблокироватьРазблокироватьРазблокировать

Разведка угрозИнформация

Интерес: 🔍
Активные акторы: 🔍
Активные группы APT: 🔍

КонтрмерыИнформация

Рекомендация: о смягчении не известно
Статус: 🔍

0-дневное время: 🔍

ХронологияИнформация

03.09.2023 🔍
03.09.2023 +0 дни 🔍
03.09.2023 +0 дни 🔍
29.09.2023 +26 дни 🔍

ИсточникиИнформация

Поставщик: totolink.net

Консультация: gist.github.com
Статус: Не определено

CVE: CVE-2023-4746 (🔍)
GCVE (CVE): GCVE-0-2023-4746
GCVE (VulDB): GCVE-100-238635
scip Labs: https://www.scip.ch/en/?labs.20161013

ВходИнформация

Создано: 03.09.2023 08:54
Обновлено: 29.09.2023 20:39
Изменения: 03.09.2023 08:54 (40), 04.09.2023 06:49 (1), 29.09.2023 20:31 (2), 29.09.2023 20:39 (27)
Завершенный: 🔍
Отправитель: dmknght
Cache ID: 216::103

ОтправитьИнформация

принято

Дубликат

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Обсуждение

 dmknght (+0)
3 лет назад
I would like to add some extra info to the Summary. The root-cause is the format string. But the impact is to bypass the validation, leads to OS command injection.
 VulDB Community Team3 лет назад
Thank you for your notification. We have just enhanced the entry accordingly.

ПредыдущийОбзорДалее

Want to stay up to date on a daily basis?

Enable the mail alert feature now!