Asus RT-AX56U URL Parameter update_json 目录遍历 - VulDB

分类为致命的漏洞曾在Asus RT-AX56U中发现。

该漏洞的交易名称为CVE-2022-23970， Edit历史差异APIJSONAPIXMLAPICSV提交登录注册VDB-196698·CVE-2022-23970AsusRT-AX56UURLParameterupdate_json目录遍历条目编辑历史差异jsonxmlCTICVSS元温度得分当前攻击价格(≈)CTI兴趣分数7.1$0-$5k0.18分类为致命的漏洞曾在AsusRT-AX56U中发现。

受影响的是功能update_json的组件:URLParameterHandler。

手动调试的不合法输入可导致目录遍历。

使用CWE来声明会导致CWE-22的问题。

CVE摘要：ASUSRT-AX56U’supdate_jsonfunctionhasapathtraversalvulnerabilityduetoinsufficientfilteringforspecialcharactersintheURLparameter.AnunauthenticatedLANattackercanoverwriteasystemfilebyuploadinganotherfilewiththesamefilename,whichresultsinservicedisruption.此漏洞的脆弱性2022-04-08所提交。

索取公告的网址是twcert.org.tw。

该漏洞的交易名称为CVE-2022-23970，CVE分配信息格式：2022-01-26。

攻击需要在局域网内进行。

有技术细节可用。

该漏洞的知名度低于平均水平，没有可利用漏洞。

目前漏洞的结构决定了可能的价格范围为美元价USD$0-$5k。

它被宣布为未定义。

估计零日攻击的地下价格约为$0-$5k。

该漏洞被披露后，此前未曾发表过可能的缓解措施。

产品信息编辑供应商Asus名称RT-AX56UCPE2.3信息编辑🔒CPE2.2信息编辑🔒CVSSv3信息编辑VulDB元基础分数:7.2VulDB元温度得分:7.1VulDB基本分数:6.3VulDB温度得分:6.1VulDB向量:🔒VulDB可靠性:🔍CNA基本分数:8.1CNA向量(TWCERT/CC):🔒CVSSv2信息编辑AVACAuCIA🔍🔍🔍🔍🔍🔍🔍🔍🔍🔍🔍🔍🔍🔍🔍🔍🔍🔍向量复杂度身份验证保密正直可用性开锁开锁开锁开锁开锁开锁开锁开锁开锁开锁开锁开锁开锁开锁开锁开锁开锁开锁VulDB基本分数:🔒VulDB温度得分:🔒VulDB可靠性:🔍攻击信息编辑分类:目录遍历CWE:CWE-22ATT&CK:未知本地:否远程:部分可用性:🔒地位:未定义EPSSScore:🔒EPSSPercentile:🔒价格预测:🔍当前价格估算:🔒0-Day开锁开锁开锁开锁今天开锁开锁开锁开锁威胁情报信息编辑利益:🔍ActiveActors:🔍ActiveAPTGroups:🔍对策信息编辑建议:无已知缓解措施地位:🔍0天时间:🔒时间轴信息编辑2022-01-26CVE已分配2022-04-08+71日公告已公开2022-04-08+0日已创建VulDB条目2022-04-09+1日VulDB上次更新来源信息编辑供应商:asus.com公告:twcert.org.tw地位:未定义CVE:CVE-2022-23970(🔒)条目信息编辑已创建:2022-04-0812時55分已更新:2022-04-0911時02分更改:(1)source_cve_nvd_summary完整:🔍评论暂时没有任何评论。

语言:zh+en.请登录后发表评论。

◂上一步一览下一步▸Wanttostayuptodateonadailybasis?Enablethemailalertfeaturenow!