PT-2020-5055 · Hisilicon · Hisilicon Hi3520D
Alexei Kojenov
·
Publicado
2020-10-06
·
Atualizado
2022-01-01
·
CVE-2020-24217
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
HiSilicon Hi3520D (versões afetadas não especificadas)
Descrição
O problema está relacionado à falta de autenticação em uma função crítica do firmware do chipset HiSilicon Hi3520D. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço ou executar código arbitrário. Especificamente, o endpoint de upload de arquivos no aplicativo da caixa em codificadores de vídeo IPTV/H.264/H.265 baseados em HiSilicon não exige autenticação, permitindo que invasores enviem uma solicitação HTTP não autenticada para fazer upload de um componente de firmware personalizado, o que pode levar à execução de código arbitrário.
Recomendações
Como solução temporária, considere desativar a funcionalidade de upload de arquivos até que um patch esteja disponível.
Restrinja o acesso ao aplicativo box em codificadores de vídeo IPTV/H.264/H.265 baseados em HiSilicon para minimizar o risco de exploração.
Evite usar o endpoint de upload de arquivos no aplicativo afetado até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hisilicon Hi3520D