某些NETGEAR设备在功能级别上受到缺少访问控制的影响

CVE编号

CVE-2019-20676

利用情况

暂无

补丁情况

N/A

披露时间

2020-04-16

漏洞描述

某些NETGEAR设备在功能级别上受到缺少访问控制的影响。这会影响1.0.1.26之前的FS728TLP，1.6.0.4之前的GS105Ev2、1.6.0.4之前的GS105PE，2.06.08之前的GS108Ev3、2.06.08之前的GS108PEv3、1.0.1.4之前的GS110EMX，2.6.0.35之前的GS116Ev2、1.0.0.15之前的GS408EPP， GS724TPv2在1.1.1.29之前，GS808E在1.7.0.7之前，GS810EMX在1.7.1.1之前，GS908E在1.7.0.3之前，GSS108E在1.6.0.4之前，GSS108EPP在1.0.0.15之前，GSS116E在1.6.0.9之前，JGS516PE在2.6.0.35之前，JGS516PE在2.6.0.35之前2.6.0.35、2.6.0.35之前的JGS524PE，1.0.1.1之前的XS512EM，1.6.0.23之前的XS708Ev2、1.6.0.23之前的XS716E和1.0.1.1之前的XS724EM。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：https://kb.netgear.com/000061463/Security-Advisory-for-Missing-Function-Level-Access-Control-on-Some-Switches-PSV-2018-0542

参考链接
https://kb.netgear.com/000061463/Security-Advisory-for-Missing-Function-Level...

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	netgear	fs728tlp_firmware	*		Up to (excluding) 1.0.1.26
	运行在以下环境
	系统	netgear	gs105e_firmware	*		Up to (excluding) 1.6.0.4
	运行在以下环境
	系统	netgear	gs105pe_firmware	*		Up to (excluding) 1.6.0.4
	运行在以下环境
	系统	netgear	gs108e_firmware	*		Up to (excluding) 2.06.08
	运行在以下环境
	系统	netgear	gs108pe_firmware	*		Up to (excluding) 2.06.08
	运行在以下环境
	系统	netgear	gs110emx_firmware	*		Up to (excluding) 1.0.1.4
	运行在以下环境
	系统	netgear	gs116e_firmware	*		Up to (excluding) 2.6.0.35
	运行在以下环境
	系统	netgear	gs408epp_firmware	*		Up to (excluding) 1.0.0.15
	运行在以下环境
	系统	netgear	gs724tp_firmware	*		Up to (excluding) 1.1.1.29
	运行在以下环境
	系统	netgear	gs808e_firmware	*		Up to (excluding) 1.7.0.7
	运行在以下环境
	系统	netgear	gs810emx_firmware	*		Up to (excluding) 1.7.1.1
	运行在以下环境
	系统	netgear	gs908e_firmware	*		Up to (excluding) 1.7.0.3
	运行在以下环境
	系统	netgear	gss108epp_firmware	*		Up to (excluding) 1.0.0.15
	运行在以下环境
	系统	netgear	gss108e_firmware	*		Up to (excluding) 1.6.0.4
	运行在以下环境
	系统	netgear	gss116e_firmware	*		Up to (excluding) 1.6.0.9
	运行在以下环境
	系统	netgear	jgs516pe_firmware	*		Up to (excluding) 2.6.0.35
	运行在以下环境
	系统	netgear	jgs524e_firmware	*		Up to (excluding) 2.6.0.35
	运行在以下环境
	系统	netgear	jgs524pe_firmware	*		Up to (excluding) 2.6.0.35
	运行在以下环境
	系统	netgear	xs512em_firmware	*		Up to (excluding) 1.0.1.1
	运行在以下环境
	系统	netgear	xs708e_firmware	*		Up to (excluding) 1.6.0.23
	运行在以下环境
	系统	netgear	xs716e_firmware	*		Up to (excluding) 1.6.0.23
	运行在以下环境
	系统	netgear	xs724em_firmware	*		Up to (excluding) 1.0.1.1
	运行在以下环境
	硬件	netgear	fs728tlp	-	-
	运行在以下环境
	硬件	netgear	gs105e	v2	-
	运行在以下环境
	硬件	netgear	gs105pe	-	-
	运行在以下环境
	硬件	netgear	gs108e	v3	-
	运行在以下环境
	硬件	netgear	gs108pe	v3	-
	运行在以下环境
	硬件	netgear	gs110emx	-	-
	运行在以下环境
	硬件	netgear	gs116e	v2	-
	运行在以下环境
	硬件	netgear	gs408epp	-	-
	运行在以下环境
	硬件	netgear	gs724tp	v2	-
	运行在以下环境
硬件	netgear	gs808e	-	-
运行在以下环境
硬件	netgear	gs810emx	-	-
运行在以下环境
硬件	netgear	gs908e	-	-
运行在以下环境
硬件	netgear	gss108e	-	-
运行在以下环境
硬件	netgear	gss108epp	-	-
运行在以下环境
硬件	netgear	gss116e	-	-
运行在以下环境
硬件	netgear	jgs516pe	-	-
运行在以下环境
硬件	netgear	jgs524e	v2	-
运行在以下环境
硬件	netgear	jgs524pe	-	-
运行在以下环境
硬件	netgear	xs512em	-	-
运行在以下环境
硬件	netgear	xs708e	v2	-
运行在以下环境
硬件	netgear	xs716e	-	-
运行在以下环境
硬件	netgear	xs724em	-	-

CVSS3评分 6.0

• 攻击路径 本地
• 攻击复杂度 低
• 权限要求 高
• 影响范围 未更改
• 用户交互 无
• 可用性 无
• 保密性 高
• 完整性 高

CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:N

CWE-ID	漏洞类型
CWE-862	授权机制缺失

Exp相关链接

- avd.aliyun.com