PT-2020-7392 · Zavio · Zavio Ip Cameras

Publicado

2020-01-29

Atualizado

2020-02-01

CVE-2013-2568

CVSS v2.0

Alta

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

**Nome do software vulnerável e versões afetadas:

Câmeras IP Zavio versões 1.6.3 e anteriores

Descrição:

Existe uma vulnerabilidade de injeção de comando por meio do parâmetro ap no endpoint da API “/cgi-bin/mft/wireless mft.cgi”, que poderia permitir que um usuário mal-intencionado remoto executasse código arbitrário.

Recomendações:

Para as câmeras IP Zavio versões 1.6.3 e anteriores, como solução temporária, considere restringir o acesso ao endpoint da API “/cgi-bin/mft/wireless mft.cgi” para minimizar o risco de exploração. Evite usar o parâmetro ap no endpoint da API afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78

Identificadores relacionados

CVE-2013-2568

Produtos afetados

Zavio Ip Cameras

PT-2020-7392 · Zavio · Zavio Ip Cameras

CVE-2013-2568

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 8