Vulnérabilités dans les routeurs Archer et TL de TP-Link

Date de publication :

NetUSB est un module du noyau Linux qui permet aux périphériques d’un réseau local de fournir des services USB sur IP.

CVE-2022-24355[Score CVSS v3.1: 8.8]

Un débordement de mémoire tampon dû à un contrôle insuffisant des limites des extensions de fichier peut permettre à un attaquant d’exécuter du code arbitraire sur le système avec les privilèges root.

CVE-2022-24354CVE-2022-24353CVE-2022-24352[Score CVSS v3.1: 8.8]

Un manque de contrôle des données entrées par l’utilisateur dans le module NetUSB.ko peut permettre à un attaquant d’exécuter du code arbitraire sur le système avec les privilèges root.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Exécution de code arbitraire

Criticité

    Score CVSS v3.1: 8.8 max

La faille est activement exploitée

    Non, pour l’ensemble des CVE présentés.

Un correctif existe

    Oui, pour l’ensemble des CVE présentés.

Une mesure de contournement existe

    Non, pour l’ensemble des CVE présentés.

Les vulnérabilités exploitées sont du type

Pour la CVE-2022-24355

Pour la CVE-2022-24354

Pour la CVE-2022-24353

Pour la CVE-2022-24352

 

Détails sur l’exploitation

Pour la CVE-2022-24355CVE-2022-24354CVE-2022-24353CVE-2022-24352

    Vecteur d’attaque : Adjacent

    Complexité de l’attaque : Faible

    Privilèges nécessaires pour réaliser l’attaque : Aucun

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Non

Composants vulnérables.

Pour la CVE-2022-24355

    TP-LINK TL-WR940N

Pour la CVE-2022-24354

    TP-Link Archer A7 AC1750

Pour la CVE-2022-24353

    TP-Link Archer A7 AC1750

Pour la CVE-2022-24352

    TP-Link Archer A7 AC1750

Solutions ou recommandations

Pour la CVE-2022-24355

  • Appliquer la mise à jour de TP-LINK TL-WR940N vers la version firmware 211111, ou toutes autres versions ultérieures.

Pour la CVE-2022-24354

  • Appliquer la mise à jour de TP-Link Archer A7 AC1750 vers la version firmware 211210, ou toutes autres versions ultérieures.

Pour la CVE-2022-24353

  • Appliquer la mise à jour de TP-Link Archer A7 AC1750 vers la version firmware 211210, ou toutes autres versions ultérieures.

Pour la CVE-2022-24352

  • Appliquer la mise à jour de TP-Link Archer A7 AC1750 vers la version firmware 211210, ou toutes autres versions ultérieures.

Liens