CRITICAL🇬🇧 English

CVE-2024-24116

Nieautoryzowane uzyskanie uprawnień w Ruijie RG-NBS2009G-P via config_menu.htm

CVSS 9.8v3.1pub. 2024-10-02upd. 2025-02-10

Podatność w oprogramowaniu Ruijie RG-NBS2009G-P RGOS umożliwia zdalnemu, nieuwierzytelnionemu atakującemu uzyskanie podwyższonych uprawnień na urządzeniu. Krytyczny poziom CVSS 9.8 wynika z braku wymagań uwierzytelnienia i możliwości pełnej kompromitacji urządzenia.

Pokaż oryginał (EN)

An issue in Ruijie RG-NBS2009G-P RGOS v.10.4(1)P2 Release(9736) allows a remote attacker to gain privileges via the system/config_menu.htm.

🤖 Analiza AI
Jak działa

Atakujący może wysłać żądanie sieciowe do zasobu system/config_menu.htm na podatnym urządzeniu bez konieczności uwierzytelnienia. Podatność związana jest z nieodpowiednią kontrolą uprawnień (CWE-280), co pozwala na dostęp do funkcji administracyjnych bez posiadania stosownych poświadczeń. W wyniku tego możliwe jest przejęcie kontroli nad konfiguracją przełącznika sieciowego.

Skutki

Atakujący może uzyskać pełne uprawnienia administracyjne na urządzeniu, co umożliwia modyfikację konfiguracji, przechwycenie ruchu sieciowego lub wyłączenie urządzenia. Skutkuje to pełną utratą poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu zarządzania urządzeniem wyłącznie do zaufanych hostów poprzez segmentację sieci lub listy kontroli dostępu (ACL) oraz wyłączenie dostępu do panelu zarządzania od strony sieci nieufanych.

Kogo dotyczy

Ruijie RG-NBS2009G-P z oprogramowaniem RGOS v.10.4(1)P2 Release(9736)

Uwagi

Publiczny proof-of-concept jest dostępny w referencjach (GitHub: zty-1995), co zwiększa ryzyko aktywnego wykorzystania podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Ruijie Rg Nbs2009g P

    HW
    Ruijie
    wszystkie wersje
  • Ruijie Rg Nbs2009g P Firmware

    OS
    Ruijie
    10.4\(1\)p2_release\(9736\)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-24117CRITICAL9.8PL ✓ten sam produkt

Nieprawidłowe uprawnienia w Ruijie RG-NBS2009G-P umożliwiają privilege escalation

CVE-2024-2642HIGH7.3ten sam produkt

A vulnerability was found in Ruijie RG-NBS2009G-P up to 20240305. It has been declared as critical. Affected b...

CVE-2023-38902HIGH8.8ten sam produkt

A command injection vulnerability in RG-EW series home routers and repeaters v.EW_3.0(1)B11P219, RG-NBS and RG...

CVE-2024-2641MEDIUM5.3ten sam produkt

A vulnerability was found in Ruijie RG-NBS2009G-P up to 20240305. It has been classified as critical. Affected...

CVE-2025-56752CRITICAL9.4PL ✓ten sam vendor

Pominięcie uwierzytelnienia w przełącznikach Ruijie RG-ES Series