PT-2020-6557 · Sumavision · Sumavision Enhanced Multimedia Router
Publicado
2020-03-05
·
Atualizado
2022-07-12
·
CVE-2020-10181
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Sumavision Enhanced Multimedia Router (EMR) versão 3.0.4.27
Descrição
A vulnerabilidade permite a criação de usuários arbitrários com privilégios elevados, especificamente como administradores, em um dispositivo. Isso pode ser feito por meio de uma solicitação como “goform/formEMR30” com o parâmetro “setString=new user<1>administrator<1>123456”. A vulnerabilidade está relacionada a erros nos mecanismos de segurança e pode ser explorada remotamente.
Recomendações
Para a versão 3.0.4.27, considere restringir o acesso ao endpoint “goform/formEMR30” para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro
setString no endpoint afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Sumavision Enhanced Multimedia Router