Ar300m16 Firmware
Уязвимости
17
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.23905
Распределение по критичности
Критический
8
Высокий
7
Средний
2
Низкий
0
Также сопоставлено как (исходные строки): ar300m16_firmware
Топ уязвимостей
CVE-2026-26795Было обнаружено, что GL-iNet GL-AR300M16 v4.3.11 содержит уязвимость инъекции команд с помощью параметра модуля в функции M.get_system_log. Эта уязвимость позволяет злоумышленникам выполнять произвольные команды с помощью созданного ввода.
CVE-2026-26793Было обнаружено, что GL-iNet GL-AR300M16 v4.3.11 содержит уязвимость командного впрыска через функцию set_config. Эта уязвимость позволяет злоумышленникам выполнять произвольные команды с помощью созданного ввода.
CVE-2026-26792Было обнаружено, что GL-iNet GL-AR300M16 v4.3.11 содержит уязвимости многократного командного впрыска в функции set_upgrade через параметры модема_url, target_version, current_version, firmware_upload, hash_type, hash_value и upgrade_type параметров. Эти уязвимости позволяют злоумышленникам выполнять произвольные команды с помощью созданного ввода.
CVE-2026-26791Было обнаружено, что GL-iNet GL-AR300M16 v4.3.11 содержит уязвимость инъекций команд с помощью параметра струнного порта в функции позволяйключить_echo_server. Эта уязвимость позволяет злоумышленникам выполнять произвольные команды с помощью созданного ввода.
CVE-2024-39228Продукты GL-iNet AR750/AR7550S/AR300M/AR300M16/MT300N-V2/B1300/MT1300/SFT1200/X750 v4.3.11, MT3000/MT2500/AXT1800/AX1800/A1300/A1300/X300B v4.5.16, XE300 v4.3.16, E750 v4.3.12, AP13содержать уязвимость для инъекций оболочки через интерфейс check_ovpn_client_config и check_config.
CVE-2024-39227Продукты GL-iNet AR750/AR750S/AR300M/AR300M16/MT300N-V2/B1300/MT1300/SFT1200/X750 v4.3.11, MT3000/MT2500/AXT1800/AX1800/A1300/A1300/X300B v4.5.16, XE300 v4.3.16, E750 v4.3.12содержать небезопасные разрешения в конечной точке /cgi-bin/glc. Эта уязвимость позволяет неаутентифицированным злоумышленникам выполнять произвольный код или, возможно, обход текста каталога с помощью созданных данных JSON.
CVE-2024-39226В продуктах GL-iNet AR750/AR750S/AR300M/AR300M16/MT300N-V2/B1300/MT1300/SFT1200/X750 v4.3.11, MT3000/MT2500/AXT1800/AX1800/A1300/X300B v4.5.16, XE300 v4.3.16, E750 v4.3.12, AP1300/S1300 v4.3.13 и XE3000/X3000 v4.4 обнаружена уязвимость, которую можно использовать для манипулирования маршрутизаторами путем передачи вредоносных команд оболочки через API s2s.
CVE-2024-39225Продукты GL-iNet AR750/AR750S/AR300M/AR300M16/MT300N-V2/B1300/MT1300/SFT1200/X750 v4.3.11, MT3000/MT2500/AXT1800/AX1800/A1300/A1300/A1300/X300B v4.5.16, XE300 v4.3.16, E750 v4.3.12содержит уязвимость удаленного выполнения кода (RCE).
CVE-2026-26794Было обнаружено, что GL-iNet GL-R300M16 v4.3.11 содержит уязвимость инъекций SQL через функцию add_group(). Эта уязвимость позволяет злоумышленникам выполнять произвольные операции баз данных SQL с помощью созданного HTTP-запроса.
CVE-2024-45263На определенных устройствах GL-iNet, включая MT6000, MT3000, MT2500, AXT1800 и AX1800 4.6.2, обнаружена проблема. Интерфейс загрузки позволяет загружать произвольные файлы на устройство. Как только устройство выполнит файлы, это может привести к утечке информации, что позволит получить полный контроль.
CVE-2024-45262На определенных устройствах GL-iNet, включая MT6000, MT3000, MT2500, AXT1800 и AX1800 4.6.2, обнаружена проблема. Параметр params в методе call конечной точки /rpc уязвим для произвольного обхода каталогов, что позволяет злоумышленникам выполнять скрипты по любому пути.
CVE-2024-45261На определенных устройствах GL-iNet, включая MT6000, MT3000, MT2500, AXT1800 и AX1800 4.6.2, обнаружена проблема. SID, сгенерированный для определенного пользователя, не привязан к самому этому пользователю, что позволяет другим пользователям потенциально использовать его для аутентификации. После того как злоумышленник обходит процедуры аутентификации приложения, он может сгенерировать действительный SID, повысить привилегии и получить полный контроль.
CVE-2024-45260На определенных устройствах GL-iNet, включая MT6000, MT3000, MT2500, AXT1800 и AX1800 4.6.2, обнаружена проблема. Пользователи, принадлежащие к неавторизованным группам, могут вызывать любой интерфейс устройства, тем самым получая полный контроль над ним.
CVE-2024-28077Проблема отказа в обслуживании была обнаружена на определенных устройствах GL-iNet. Некоторые веб-сайты могут обнаруживать устройства, подключенные к внешней сети через DDNS, и, следовательно, получать IP-адреса и порты устройств, которые подключены. Используя специальные имена пользователей и специальные символы (такие как полукруглые скобки или квадратные скобки), можно вызвать интерфейс входа в систему и привести к сбою программы управления сеансами, в результате чего клиенты не смогут войти в свои устройства. Это затрагивает MT6000 4.5.6, XE3000 4.4.5, X3000 4.4.6, MT3000 4.5.0, MT2500 4.5.0, AXT1800 4.5.0, AX1800 4.5.0, A1300 4.5.0, S200 4.1.4-0300, X750 4.3.7, SFT1200 4.3.7, MT1300 4.3.10, AR750 4.3.10, AR750S 4.3.10, AR300M 4.3.10, AR300M16 4.3.10, B1300 4.3.10, MT300N-V2 4.3.10 и XE300 4.3.16.
CVE-2024-27356Обнаружена проблема на некоторых устройствах GL-iNet. Злоумышленники могут загружать файлы, такие как журналы, с помощью команд, потенциально получая важную информацию о пользователе. Это затрагивает MT6000 4.5.5, XE3000 4.4.4, X3000 4.4.5, MT3000 4.5.0, MT2500 4.5.0, AXT1800 4.5.0, AX1800 4.5.0, A1300 4.5.0, S200 4.1.4-0300, X750 4.3.7, SFT1200 4.3.7, XE300 4.3.7, MT1300 4.3.10, AR750 4.3.10, AR750S 4.3.10, AR300M 4.3.10, AR300M16 4.3.10, B1300 4.3.10, MT300N-v2 4.3.10, X300B 3.217, S1300 3.216, SF1200 3.216, MV1000 3.216, N300 3.216, B2200 3.216 и X1200 3.203.
CVE-2024-45259На определенных устройствах GL-iNet, включая MT6000, MT3000, MT2500, AXT1800 и AX1800 4.6.2, обнаружена проблема. Перехватив HTTP-запрос и изменив свойство filename в интерфейсе загрузки, можно удалить любой файл на устройстве.
CVE-2024-39229Проблема в продуктах GL-iNet AR750/AR750S/AR300M/AR300M16/MT300N-V2/B1300/MT1300/SFT1200/X750 v4.3.11, MT3000/MT2500/AXT1800/AX1800/A1300/X300B v4.5.16, XE300 v4.3.16, E750 v4.3.12, AP1300/S1300 v4.3.13, XE3000/X3000 v4 и B2200/MV1000/MV1000W/USB150/N300/SF1200 v3.216 позволяет злоумышленникам перехватывать связь посредством атаки "человек посередине", когда клиенты DDNS передают данные на сервер.