Raspap
Уязвимости
13
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.98725
Распределение по критичности
Критический
2
Высокий
10
Средний
1
Низкий
0
Затронутые диапазоны версий
1.5–2.6.52.3–2.6.52.6–2.6.52.8.0–2.8.72.8.0–2.9.2< 3.3.6≤ 2.8.8≤ 3.0.9
Также сопоставлено как (исходные строки): raspap
Топ уязвимостей
CVE-2022-39986Уязвимость внедрения команд в RaspAP 2.8.0–2.8.7 позволяет неаутентифицированным злоумышленникам выполнять произвольные команды через параметр cfg_id в /ajax/openvpn/activate_ovpncfg.php и /ajax/openvpn/del_ovpncfg.php.
CVE-2021-33357Существует уязвимость в RaspAP 2.6 - 2.6.5 в GET-параметре "iface" в /ajax/networking/get_netcfg.php, когда значение параметра "iface" содержит специальные символы, такие как ";", что позволяет неаутентифицированному злоумышленнику выполнять произвольные команды ОС.
CVE-2023-30260Уязвимость внедрения команд в RaspAP raspap-webgui 2.8.8 и более ранних версиях позволяет удаленным злоумышленникам выполнять произвольные команды через специально созданный POST-запрос к форме настроек hostapd.
CVE-2022-39987Уязвимость внедрения команд в RaspAP 2.8.0–2.9.2 позволяет аутентифицированному злоумышленнику выполнять произвольные команды ОС от имени root через параметры POST «entity» в /ajax/networking/get_wgkey.php.
CVE-2021-38557raspap-webgui в RaspAP 2.6.6 позволяет злоумышленникам выполнять команды от имени root из-за небезопасных разрешений sudoers. Учетная запись www-data может выполнять /etc/raspap/hostapd/enablelog.sh от имени root без пароля; однако учетная запись www-data также может перезаписывать /etc/raspap/hostapd/enablelog.sh любым исполняемым содержимым.
CVE-2021-38556includes/configure_client.php в RaspAP 2.6.6 позволяет злоумышленникам выполнять команды через внедрение команд.
CVE-2021-33358Множественные уязвимости существуют в RaspAP 2.3 - 2.6.5 в POST-параметрах "interface", "ssid" и "wpa_passphrase" в /hostapd, когда значения параметров содержат специальные символы, такие как ";" или "$()", что позволяет аутентифицированному злоумышленнику выполнять произвольные команды ОС.
CVE-2021-33356Множественные уязвимости повышения привилегий в RaspAP 1.5 - 2.6.5 могут позволить аутентифицированному удаленному злоумышленнику внедрять произвольные команды в компонент /installers/common.sh, что может привести к удаленному выполнению команд с правами root.
CVE-2020-24572В RaspAP 2.5 обнаружена проблема в includes/webconsole.php. При наличии аутентифицированного доступа злоумышленник может использовать неправильно сконфигурированную (и практически неограниченную) веб-консоль для атаки на базовую ОС (Raspberry Pi), на которой работает это программное обеспечение, и выполнять команды в системе (включая команды для загрузки файлов и выполнения кода).
CVE-2026-24788Версии RaspAP raspap-webgui до 3.3.6 содержат уязвимость инъекций команд ОС. При эксплуатации произвольное командование ОС может быть выполнено пользователем, который может войти в продукт.
CVE-2024-28754RaspAP (aka raspap-webgui) до версии 3.0.9 позволяет удаленным злоумышленникам вызывать постоянный отказ в обслуживании (блокировку) через специально созданный запрос.
CVE-2024-2497В RaspAP raspap-webgui 3.0.9 обнаружена уязвимость, классифицированная как критическая. Эта проблема затрагивает некоторую неизвестную обработку файла includes/provider.php компонента HTTP POST Request Handler. Манипулирование аргументом country приводит к внедрению кода. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. Соответствующим идентификатором этой уязвимости является VDB-256919. ПРИМЕЧАНИЕ: С поставщиком связались заранее по поводу этого раскрытия, но он никак не отреагировал.
CVE-2024-28753RaspAP (aka raspap-webgui) до версии 3.0.9 позволяет удаленным злоумышленникам читать файл /etc/passwd через специально созданный запрос.