Usg9500 Firmware
Уязвимости
81
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.02383
Распределение по критичности
Критический
2
Высокий
38
Средний
37
Низкий
4
Затронутые диапазоны версий
≤ v200r001c01spc800
Также сопоставлено как (исходные строки): usg9500_firmware
Топ уязвимостей
CVE-2020-9099Продукты Huawei IPS Module; NGFW Module; NIP6300; NIP6600; NIP6800; Secospace USG6300; Secospace USG6500; Secospace USG6600; USG9500 с версиями V500R001C00; V500R001C20; V500R001C30; V500R001C50; V500R001C60; V500R001C80; V500R005C00; V500R005C10; V500R005C20; V500R002C00; V500R002C10; V500R002C20; V500R002C30 имеют уязвимость неправильной аутентификации. Злоумышленникам необходимо выполнить некоторые операции, чтобы использовать эту уязвимость. Успешное использование может позволить получить определенные разрешения на устройстве.
CVE-2016-4576Переполнение буфера в функциональности Application Specific Packet Filtering (ASPF) в устройствах Huawei IPS Module, NGFW Module, NIP6300, NIP6600, Secospace USG6300, USG6500, USG6600, USG9500 и AntiDDoS8000 с программным обеспечением до V500R001C20SPC100 позволяет удаленным злоумышленникам вызывать отказ в обслуживании или выполнять произвольный код через специально созданный пакет, связанный с "недопустимыми параметрами".
CVE-2014-9137Huawei USG9500 с программным обеспечением V200R001C01SPC800 и более ранними версиями, V300R001C00; USG2100 с программным обеспечением V300R001C00SPC900 и более ранними версиями; USG2200 с программным обеспечением V300R001C00SPC900; USG5100 с программным обеспечением V300R001C00SPC900 может позволить неаутентифицированному удаленному злоумышленнику проводить атаку CSRF против пользователя веб-интерфейса.
CVE-2014-9136Huawei FusionManager с программным обеспечением V100R002C03 и V100R003C00 может позволить неаутентифицированному удаленному злоумышленнику проводить атаку CSRF против пользователя веб-интерфейса.
CVE-2020-1871USG9500 с программным обеспечением V500R001C30SPC100; V500R001C30SPC200; V500R001C30SPC600; V500R001C60SPC500; V500R005C00SPC100; V500R005C00SPC200 имеют неправильную уязвимость управления учетными данными. Программное обеспечение неправильно управляет определенными учетными данными. Успешная эксплуатация может привести к раскрытию или повреждению информации, а также повлиять на конфиденциальность или целостность.
CVE-2021-37129Существует уязвимость записи за пределы выделенной области памяти в некоторых продуктах Huawei. Уязвимость вызвана функцией модуля, которая неправильно проверяет входной параметр. Успешная эксплуатация может привести к записи за пределы выделенной области памяти, что приведет к отказу в обслуживании. Уязвимые версии продукта включают: IPS Module V500R005C00, V500R005C20; NGFW Module V500R005C00; NIP6600 V500R005C00, V500R005C20; S12700 V200R010C00SPC600, V200R011C10SPC500, V200R011C10SPC600, V200R013C00SPC500, V200R019C00SPC200, V200R019C00SPC500, V200R019C10SPC200, V200R020C00, V200R020C10; S1700 V200R010C00SPC600, V200R011C10SPC500, V200R011C10SPC600; S2700 V200R010C00SPC600, V200R011C10SPC500, V200R011C10SPC600; S5700 V200R010C00SPC600, V200R010C00SPC700, V200R011C10SPC500, V200R011C10SPC600, V200R019C00SPC500; S6700 V200R010C00SPC600, V200R011C10SPC500, V200R011C10SPC600; S7700 V200R010C00SPC600, V200R010C00SPC700, V200R011C10SPC500, V200R011C10SPC600; S9700 V200R010C00SPC600, V200R011C10SPC500, V200R011C10SPC600; USG9500 V500R005C00, V500R005C20.
CVE-2021-22309Существует уязвимость небезопасного алгоритма в продуктах Huawei. Модуль использует меньшее количество случайных входных данных в безопасном механизме. Злоумышленники могут использовать эту уязвимость путем грубого взлома, чтобы получить конфиденциальное сообщение. Это может привести к утечке информации. Затронутые версии продуктов включают: USG9500 версии V500R001C30SPC200, V500R001C60SPC500,V500R005C00SPC200;USG9520 версии V500R005C00;USG9560 версии V500R005C00;USG9580 версии V500R005C00.
CVE-2020-9213В некоторых продуктах Huawei обнаружена уязвимость отказа в обслуживании. В определенных сценариях из-за неправильной обработки пакетов злоумышленник может создать множество определенных пакетов. Успешная эксплуатация может привести к ненормальной работе некоторых служб. К затронутым продуктам относятся некоторые версии NGFW Module, NIP6300, NIP6600, NIP6800, Secospace USG6300, Secospace USG6500, Secospace USG6600 и SG9500.
CVE-2020-1881Продукты NIP6800; Secospace USG6600; USG9500 с версиями V500R001C30; V500R001C60SPC500; V500R005C00SPC100 имеют уязвимость ошибки управления ресурсами. Злоумышленнику необходимо выполнить определенные операции, чтобы активировать функцию уязвимого устройства. Из-за неправильного управления ресурсами функции уязвимость может быть использована для вызова ненормальной работы службы на уязвимых устройствах.
CVE-2020-1876NIP6800; Secospace USG6600; USG9500 с версиями V500R001C30; V500R001C60SPC500; V500R005C00SPC100 имеют уязвимость записи за пределами границ. Не прошедший проверку подлинности злоумышленник создает вредоносные пакеты с определенным параметром и отправляет пакеты уязвимым продуктам. Из-за недостаточной проверки пакетов это может быть использовано для перезагрузки процесса.
CVE-2020-1873Продукты NIP6800; Secospace USG6600; USG9500 с версиями V500R001C30; V500R001C60SPC500; V500R005C00SPC100 имеют уязвимость чтения за пределами границ. Не прошедший проверку подлинности злоумышленник создает неправильно сформированное сообщение с определенным параметром и отправляет сообщение на затронутые продукты. Из-за недостаточной проверки сообщения, которая может быть использована для перезагрузки устройства.
CVE-2020-1860Продукты NIP6800; Secospace USG6600; USG9500 с версиями V500R001C30; V500R001C60SPC500; V500R005C00SPC100 имеют уязвимость обхода контроля доступа. Злоумышленники, имеющие доступ к внутренней сети, могут использовать эту уязвимость при тщательном развертывании. Успешная эксплуатация может привести к обходу контроля доступа, и злоумышленники смогут напрямую получить доступ к Интернету.
CVE-2020-1858Продукты Huawei NIP6800 версии V500R001C30, V500R001C60SPC500 и V500R005C00SPC100; Secospace USG6600 версии V500R001C30SPC600, V500R001C60SPC500 и V500R005C00SPC100; и USG9500 версии V500R001C30SPC600, V500R001C60SPC500 и V500R005C00SPC100 имеют уязвимость отказа в обслуживании. Злоумышленникам необходимо выполнить серию операций в специальном сценарии, чтобы использовать эту уязвимость. Успешная эксплуатация может привести к невозможности установления новых соединений, что приведет к отказу в обслуживании.
CVE-2020-1856Huawei NGFW Module, NIP6300, NIP6600, Secospace USG6500, Secospace USG6600 и USG9500 версии V500R001C30, V500R001C60 и V500R005C00 имеют уязвимость утечки информации. Злоумышленник может использовать эту уязвимость, отправляя определенные пакеты запросов на затронутые устройства. Успешная эксплуатация может привести к утечке информации.
CVE-2020-1847В некоторых продуктах Huawei существует уязвимость отказа в обслуживании. Отсутствует защита от сценария атаки определенного протокола. Удаленные неавторизованные злоумышленники могут создавать сценарии атак, что приводит к отказу в обслуживании. Затронутые версии продуктов включают: NIP6300 версии V500R001C30, V500R001C60; NIP6600 версии V500R001C30, V500R001C60; Secospace USG6300 версии V500R001C30, V500R001C60; Secospace USG6500 версии V500R001C30, V500R001C60; Secospace USG6600 версии V500R001C30, V500R001C60; USG9500 версии V500R001C30, V500R001C60.
CVE-2020-1829Huawei NIP6800 версий V500R001C30 и V500R001C60SPC500; и Secospace USG6600 и USG9500 версий V500R001C30SPC200, V500R001C30SPC600 и V500R001C60SPC500 имеют уязвимость, из-за которой модуль IPSec неправильно обрабатывает сообщение. Злоумышленники могут отправлять определенные сообщения, вызывающие двойное освобождение памяти. Это может нарушить нормальную работу службы.
CVE-2020-1828Huawei NIP6800 версий V500R001C30, V500R001C60SPC500 и V500R005C00; и Secospace USG6600 и USG9500 версий V500R001C30SPC200, V500R001C30SPC600, V500R001C60SPC500 и V500R005C00 имеют уязвимость проверки входных данных, из-за которой модуль IPSec не проверяет поле в определенном сообщении. Злоумышленники могут отправлять определенные сообщения, вызывающие чтение за пределами границ, что нарушает нормальную работу службы.
CVE-2020-1827Huawei NIP6800 версий V500R001C30, V500R001C60SPC500 и V500R005C00SPC100; и Secospace USG6600 и USG9500 версий V500R001C30SPC200, V500R001C30SPC600, V500R001C60SPC500 и V500R005C00SPC100 имеют уязвимость утечки информации. Злоумышленник может воспользоваться этой уязвимостью, отправив определенные пакеты запросов на уязвимые устройства. Успешная эксплуатация может привести к утечке информации.
CVE-2020-1816Huawei NIP6800 версий V500R001C30, V500R001C60SPC500 и V500R005C00; Secospace USG6600 и USG9500 версий V500R001C30SPC200, V500R001C30SPC600, V500R001C60SPC500 и V500R005C00 имеют уязвимость типа «отказ в обслуживании» (DoS). Из-за неправильной обработки определенных пакетов IPSEC удаленные злоумышленники могут отправлять сконструированные пакеты IPSEC на уязвимые устройства, чтобы воспользоваться этой уязвимостью. Успешная эксплуатация может привести к ненормальной работе функции IPSec уязвимого устройства.
CVE-2020-1815Huawei NIP6800 версий V500R001C30, V500R001C60SPC500 и V500R005C00; Secospace USG6600 и USG9500 версий V500R001C30SPC200, V500R001C30SPC600, V500R001C60SPC500 и V500R005C00 имеют уязвимость утечки памяти. Программное обеспечение недостаточно отслеживает и освобождает выделенную память при разборе определенного сообщения, злоумышленник непрерывно отправляет сообщение, которое может исчерпать оставшуюся память. Успешная эксплуатация может привести к исчерпанию памяти.
CVE-2019-5275USG9500 версий V500R001C30; V500R001C60 имеют уязвимость отказа в обслуживании. Из-за ошибки в реализации X.509 в затронутых продуктах, которая может привести к переполнению буфера кучи при декодировании сертификата, злоумышленник может использовать уязвимость с помощью вредоносного сертификата для выполнения атаки отказа в обслуживании на затронутые продукты.
CVE-2019-5274USG9500 версий V500R001C30; V500R001C60 имеют уязвимость отказа в обслуживании. Из-за ошибки в реализации X.509 в затронутых продуктах, которая может привести к бесконечному циклу, злоумышленник может использовать уязвимость с помощью вредоносного сертификата для выполнения атаки отказа в обслуживании на затронутые продукты.
CVE-2019-5273USG9500 версий V500R001C30; V500R001C60 имеют уязвимость отказа в обслуживании. Из-за ошибки в реализации X.509 в затронутых продуктах, которая может привести к ошибке переполнения большого буфера кучи, злоумышленник может использовать уязвимость с помощью вредоносного сертификата, что приведет к отказу в обслуживании затронутых продуктов.
CVE-2019-19417SIP-модуль некоторых продуктов Huawei имеет уязвимость типа «отказ в обслуживании» (DoS). Удаленный злоумышленник может использовать эти три уязвимости, отправляя специально созданные сообщения на уязвимое устройство. Из-за недостаточной проверки пакетов успешное использование может позволить злоумышленнику вызвать переполнение буфера и бесконечный цикл, что приведет к состоянию DoS. Затронутые продукты можно найти по адресу https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20200115-01-sip-en.
CVE-2019-19416SIP-модуль некоторых продуктов Huawei имеет уязвимость типа «отказ в обслуживании» (DoS). Удаленный злоумышленник может использовать эти три уязвимости, отправляя специально созданные сообщения на уязвимое устройство. Из-за недостаточной проверки пакетов успешное использование может позволить злоумышленнику вызвать переполнение буфера и бесконечный цикл, что приведет к состоянию DoS. Затронутые продукты можно найти по адресу https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20200115-01-sip-en.