Podatność w oprogramowaniu Ruijie RG-NBS2009G-P RGOS umożliwia zdalnemu, nieuwierzytelnionemu atakującemu uzyskanie podwyższonych uprawnień na urządzeniu. Krytyczny poziom CVSS 9.8 wynika z braku wymagań uwierzytelnienia i możliwości pełnej kompromitacji urządzenia.
▸ Pokaż oryginał (EN)
An issue in Ruijie RG-NBS2009G-P RGOS v.10.4(1)P2 Release(9736) allows a remote attacker to gain privileges via the system/config_menu.htm.
Atakujący może wysłać żądanie sieciowe do zasobu system/config_menu.htm na podatnym urządzeniu bez konieczności uwierzytelnienia. Podatność związana jest z nieodpowiednią kontrolą uprawnień (CWE-280), co pozwala na dostęp do funkcji administracyjnych bez posiadania stosownych poświadczeń. W wyniku tego możliwe jest przejęcie kontroli nad konfiguracją przełącznika sieciowego.
Atakujący może uzyskać pełne uprawnienia administracyjne na urządzeniu, co umożliwia modyfikację konfiguracji, przechwycenie ruchu sieciowego lub wyłączenie urządzenia. Skutkuje to pełną utratą poufności, integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu zarządzania urządzeniem wyłącznie do zaufanych hostów poprzez segmentację sieci lub listy kontroli dostępu (ACL) oraz wyłączenie dostępu do panelu zarządzania od strony sieci nieufanych.
Ruijie RG-NBS2009G-P z oprogramowaniem RGOS v.10.4(1)P2 Release(9736)
Publiczny proof-of-concept jest dostępny w referencjach (GitHub: zty-1995), co zwiększa ryzyko aktywnego wykorzystania podatności.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HRuijie Rg Nbs2009g P
HWRuijiewszystkie wersjeRuijie Rg Nbs2009g P Firmware
OSRuijie10.4\(1\)p2_release\(9736\)
Powiązane podatności
Nieprawidłowe uprawnienia w Ruijie RG-NBS2009G-P umożliwiają privilege escalation
A vulnerability was found in Ruijie RG-NBS2009G-P up to 20240305. It has been declared as critical. Affected b...
A command injection vulnerability in RG-EW series home routers and repeaters v.EW_3.0(1)B11P219, RG-NBS and RG...
A vulnerability was found in Ruijie RG-NBS2009G-P up to 20240305. It has been classified as critical. Affected...
Pominięcie uwierzytelnienia w przełącznikach Ruijie RG-ES Series