Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

В rConfig обнаружены две критические уязвимости

05/11/19

hack42-2Исследователь Мухаммед Аскар (Mohammad Askar) из компании Shell Systems опубликовал в Сети подробности и PoC-коды для двух уязвимостей удаленного выполнения кода в утилите rConfig. Их эксплуатация позволяет неавторизованному злоумышленнику удаленно скомпрометировать целевые серверы и подключенные сетевые устройства.

RConfig представляет собой бесплатную утилиту для управления конфигурацией сетевых устройств с открытым исходным кодом, позволяющую сетевым инженерам настраивать и делать частые снимки конфигурации сетевых устройств. rConfig используется для управления более чем 3,3 млн сетевых устройств, включая коммутаторы, маршрутизаторы, межсетевые экраны, балансировщики нагрузки и WAN-оптимизаторы.

Первая проблема (CVE-2019-16662) затрагивает все версии rConfig до 3.9.2 включительно, а вторая (CVE-2019-16663) — все версии rConfig до 3.6.0. Уязвимости содержатся в файлах ajaxServerSettingsChk.php и search.crud.php и могут быть проэксплуатированы удаленно неавторизованным злоумышленником.

В обоих случаях для эксплуатации уязвимости злоумышленнику необходимо получить доступ к уязвимым файлам с помощью специально сформированного параметра GET, предназначенного для выполнения вредоносных команд ОС на целевом сервере. Злоумышленник может получить доступ к командной строке на сервере жертвы и выполнить любую произвольную команду на скомпрометированном сервере с привилегиями web-приложения.

Пользователям rConfig рекомендуется временно удалить приложение с сервера или использовать альтернативные решения до появления исправлений.

Темы:УгрозыShell SystemsrConfig
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...