๐ Netgear WN604/WN802Tv2/WNAP210/WNAP320/WNDAP350/WNDAP360 vor 3.3.3 PIN Information Disclosure
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 81129
Betroffen: Netgear WN604/WN802Tv2/WNAP210/WNAP320/WNDAP350/WNDAP360
Veröffentlicht: 24.02.2016
Risiko: problematisch
Erstellt: 01.03.2016
Eintrag: 70.3% komplett
Beschreibung
Es wurde eine problematische Schwachstelle in Netgear WN604, WN802Tv2, WNAP210, WNAP320, WNDAP350 sowie WNDAP360 gefunden. Betroffen hiervon ist eine unbekannte Funktion. Durch Manipulation mit einer unbekannten Eingabe kann eine Information Disclosure-Schwachstelle (PIN) ausgenutzt werden. Dies hat Einfluss auf die Vertraulichkeit.
Die Schwachstelle wurde am 24.02.2016 in Form eines bestätigten Mailinglist Posts (Full-Disclosure) publiziert. Das Advisory kann von seclists.org heruntergeladen werden. Die Identifikation der Schwachstelle wird seit dem 07.01.2016 mit CVE-2016-1556 vorgenommen. Die Ausnutzbarkeit ist als leicht bekannt. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar.
Ein Aktualisieren auf die Version 3.3.3 vermag dieses Problem zu lösen. Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von X-Force (111064) dokumentiert. Mit dieser Schwachstelle verwandte Einträge finden sich unter 81127, 81128, 81130 und 81131.CVSS
Base Score: 5.0 (CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N) [?]
Temp Score: 3.7 (CVSS2#E:U/RL:OF/RC:C) [?]
CPE
- cpe:/a:netgear:wn604
- cpe:/a:netgear:wn802tv2
- cpe:/a:netgear:wnap210
- cpe:/a:netgear:wnap320
- cpe:/a:netgear:wndap350
- cpe:/a:netgear:wndap360
Exploiting
Klasse: Information Disclosure
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Status: Unbewiesen
Aktuelle Preisschätzung: $1k-$2k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: WN604/WN802Tv2/WNAP210/WNAP320/WNDAP350/WNDAP360 3.3.3
Timeline
07.01.2016 | CVE zugewiesen
24.02.2016 | Advisory veröffentlicht
01.03.2016 | VulDB Eintrag erstellt
01.03.2016 | VulDB Eintrag aktualisiert
Quellen
Advisory: seclists.org
Status: Bestätigt
CVE: CVE-2016-1556 (mitre.org) (nvd.nist.org) (cvedetails.com)
X-Force: 111064 – Multiple Netgear products information disclosure
Siehe auch: 81127, 81128, 81130 , 81131
...