Vulnérabilités dans plusieurs produits Netgear
Date de publication :
Plusieurs vulnérabilités ont été découvertes dans des produits Netgear. Elles peuvent permettre à un attaquant de provoquer une élévation de privilèges, une exécution de code arbitraire et / ou un déni de service. Peu de détails techniques ont été dévoilés.
Pas de CVE attribuée, PSV-2020-0163 [Score CVSS v3 : 8.8] : Une vulnérabilité pouvant permettre une injection de commande avant authentification a été découverte dans les produits Netgear D7800 et R7500v2.
Pas de CVE attribuée, PSV-2020-0009 [Score CVSS v3 : 8.8] : Une vulnérabilité de type “débordement de tampon” a été découverte dans plusieurs produits Netgear, incluant des routeurs, des systèmes WiFI et des répéteurs WiFi. Ce type de vulnérabilité peut généralement permettre à un attaquant de provoquer une exécution de code arbitraire ou un déni de service.
Pas de CVE attribuée, PSV-2019-0016 [Score CVSS v3 : 8.2] : Une vulnérabilité de type “fonction manquante dans les contrôles d’accès” a été découverte dans plusieurs routeurs Netgear. Ce type de vulnérabilité peut permettre à un attaquant de provoquer une élévation de privilèges.
Pas de CVE attribuée, PSV-2019-0018 [Score CVSS v3 : 7.5] : Une vulnérabilité de type “cross site request forgery” a été découverte dans plusieurs routeurs Netgear.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
- Déni de service
- Elévation de privilèges
Criticité
- Score CVSS v3 : 8.8 max
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement
Composants vulnérables
-
PSV-2020-0163 :
- D7800, running firmware versions prior to 1.0.1.58
- R7500v2, running firmware versions prior to 1.0.3.48
-
PSV-2020-0009 :
- Une liste des composants vulnérables est disponible ici
-
PSV-2019-0016 :
- Une liste des composants vulnérables est disponible ici
-
PSV-2019-0018 :
- Une liste des composants vulnérables est disponible ici
CVE
- Pas de CVE attribuée
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour les produits concernés vers des versions non vulnérables
Solution de contournement
Aucune solution de contournement
Liens
- Security Advisory for Pre-Authentication Command Injection on Some Routers, PSV…
- Security Advisory for Pre-Authentication Buffer Overflow on Some Extenders, Rou…
- Security Advisory for Missing Function Level Access Control on Some Routers, PS…
- Security Advisory for Cross Site Request Forgery on Some Routers, PSV-2019-0018