PT-2020-11973 · Amino Communications · Amino Communications Aria6Xx Series+6
Publicado
2020-12-29
·
Atualizado
2021-01-14
·
CVE-2020-10207
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Série AK45x da Amino Communications
Série AK5xx da Amino Communications
Série AK65x da Amino Communications
Série Aria6xx da Amino Communications
Série Aria7/AK7Xx da Amino Communications
Kami7B da Amino Communications
Descrição
O problema diz respeito ao uso de credenciais codificadas no EntoneWebEngine, permitindo que invasores remotos recuperem e modifiquem as configurações do dispositivo.
Recomendações
Para a série AK45x da Amino Communications, considere desativar o acesso remoto ao dispositivo até que uma correção esteja disponível.
Para a série AK5xx da Amino Communications, restrinja o acesso às configurações do dispositivo para minimizar o risco de exploração.
Para a série AK65x da Amino Communications, evite usar as credenciais padrão para o EntoneWebEngine.
Para a série Aria6xx da Amino Communications, altere as credenciais padrão para credenciais personalizadas a fim de impedir o acesso não autorizado.
Para a série Aria7/AK7Xx da Amino Communications, limite o acesso às configurações do dispositivo por meio do EntoneWebEngine.
Para o Kami7B da Amino Communications, desative o EntoneWebEngine, se possível, até que uma solução segura seja implementada.
Exploit
Correção
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Amino Communications Ak45X Series
Amino Communications Ak5Xx Series
Amino Communications Ak65X Series
Amino Communications Aria6Xx Series
Amino Communications Aria7/Ak7Xx Series
Amino Communications Kami7B
Entonewebengine