PT-2021-10692 · Unknown · Unibox U-50+2
Kaustubh Padwad
·
Publicado
2021-04-09
·
Atualizado
2021-04-14
·
CVE-2020-21883
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
**Nome do software vulnerável e versões afetadas:
Unibox U-50 versão 2.4
UniBox Enterprise Series versão 2.4
UniBox Campus Series versão 2.4
Descrição:
O problema está relacionado a uma vulnerabilidade de injeção de comando no sistema operacional. Essa vulnerabilidade está presente no endpoint da API “/tools/ping”, o que pode levar ao controle total do dispositivo.
Recomendações:
Para o Unibox U-50 versão 2.4, considere restringir o acesso ao endpoint da API “/tools/ping” até que uma correção esteja disponível.
Para a UniBox Enterprise Series versão 2.4, evite usar o endpoint vulnerável “/tools/ping” para minimizar o risco de exploração.
Para a UniBox Campus Series versão 2.4, como solução alternativa temporária, considere desativar a funcionalidade relacionada ao endpoint “/tools/ping” até que uma correção seja fornecida.
Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Unibox Campus Series
Unibox Enterprise Series
Unibox U-50