CVE-2019-3943

HIGH

Description

MikroTik RouterOS versions Stable 6.43.12 and below, Long-term 6.42.12 and below, and Testing 6.44beta75 and below are vulnerable to an authenticated, remote directory traversal via the HTTP or Winbox interfaces. An authenticated, remote attack can use this vulnerability to read and write files outside of the sandbox directory (/rw/disk).

References

https://www.tenable.com/security/research/tra-2019-16

Details

Source: MITRE

Published: 2019-04-10

Updated: 2019-04-11

Type: CWE-22

Risk Information

CVSS v2.0

Base Score: 7.5

Vector: AV:N/AC:L/Au:S/C:C/I:P/A:N

Impact Score: 7.8

Exploitability Score: 8

Severity: HIGH

CVSS v3.0

Base Score: 8.1

Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Impact Score: 5.2

Exploitability Score: 2.8

Severity: HIGH

Vulnerable Software

Configuration 1

OR

cpe:2.3:o:mikrotik:routeros:*:*:*:*:long-term:*:*:* versions up to 6.42.12 (inclusive)

cpe:2.3:o:mikrotik:routeros:*:*:*:*:stable:*:*:* versions up to 6.43.12 (inclusive)

Configuration 2

OR

cpe:2.3:o:mikrotik:routeros:6.35:rc1:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc10:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc11:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc12:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc14:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc15:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc16:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc19:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc2:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc21:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc25:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc26:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc28:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc29:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc3:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc30:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc31:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc32:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc33:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc34:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc35:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc37:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc4:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc40:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc41:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc42:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc43:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc44:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc45:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc46:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc47:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc48:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc49:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.35:rc5:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc10:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc11:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc12:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc13:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc16:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc19:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc20:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc21:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc27:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc28:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc3:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc30:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc33:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc36:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc37:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc39:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc4:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc40:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc5:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc6:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc8:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.36:rc9:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc10:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc11:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc12:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc13:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc15:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc16:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc19:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc20:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc21:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc22:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc24:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc26:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc27:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc30:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc32:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc34:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc36:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc38:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc4:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc40:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc42:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.37:rc5:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.38:rc15:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.38:rc19:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.38:rc30:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.38:rc31:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.38:rc34:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.38:rc35:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.38:rc37:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.38:rc44:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.38:rc45:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.38:rc46:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.38:rc9:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc13:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc14:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc15:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc18:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc19:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc2:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc20:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc21:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc24:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc25:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc28:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc32:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc36:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc38:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc4:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc41:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc5:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc6:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.40:rc8:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc11:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc13:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc15:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc16:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc17:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc18:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc20:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc21:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc23:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc26:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc28:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc3:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc30:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc31:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc32:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc34:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc37:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc38:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc4:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc44:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc47:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc50:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc52:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc56:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc6:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc61:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc66:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.41:rc9:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc11:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc12:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc14:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc15:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc18:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc2:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc20:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc23:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc24:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc27:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc28:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc30:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc35:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc37:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc39:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc41:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc43:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc46:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc48:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc49:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc5:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc52:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc56:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc6:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.42:rc9_:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc11:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc12:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc14:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc17:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc19:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc21:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc23:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc27:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc29:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc3:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc32:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc34:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc4:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc40:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc42:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc44:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc45:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc5:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc51:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc56:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc6:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc64:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc66:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.43:rc7:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.44:beta14:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.44:beta17:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.44:beta20:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.44:beta28:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.44:beta39:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.44:beta40:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.44:beta50:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.44:beta54:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.44:beta6:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.44:beta61:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.44:beta75:*:*:testing:*:*:*

cpe:2.3:o:mikrotik:routeros:6.44:beta9:*:*:testing:*:*:*