PT-2020-9686 · Zolo Halo+1 · Zolo Halo+1
Publicado
2020-07-01
·
Atualizado
2021-07-21
·
CVE-2019-15312
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Dispositivos Zolo Halo por meio do firmware Linkplay (versões afetadas não especificadas)
Descrição
Foi descoberta uma falha que permite um ataque de rebinding de DNS no dispositivo. Esse ataque, combinado com falhas de segurança relacionadas à execução de comandos por meio do endpoint “/httpapi.asp”, poderia permitir que um invasor comprometesse o dispositivo da vítima a partir da Internet.
Recomendações
Como solução temporária, considere restringir o acesso ao endpoint “/httpapi.asp” até que uma correção esteja disponível.
Evite usar o dispositivo até que uma correção seja fornecida, para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Linkplay
Zolo Halo