PT-2021-10714 · Iwt · Facesentry Access Control System
Gjoko Krstic
·
Publicado
2021-05-04
·
Atualizado
2021-05-11
·
CVE-2020-21999
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Sistema de controle de acesso FaceSentry da iWT Ltd, versão 6.4.8
Descrição
A vulnerabilidade permite a injeção de comandos no sistema operacional por usuários autenticados utilizando credenciais padrão. Isso pode ser explorado para injetar e executar comandos shell arbitrários como usuário root por meio do parâmetro
strInIP no script PHP pingTest.Recomendações
Para a versão 6.4.8, evite usar o parâmetro
strInIP no script PHP pingTest até que o problema seja resolvido. Considere restringir o acesso ao script PHP pingTest para minimizar o risco de exploração.Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Facesentry Access Control System