PT-2021-12699 · Iptime+1 · Iptime Nas+2
Publicado
2021-11-30
·
Atualizado
2021-12-01
·
CVE-2020-7879
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Câmera IP ipTIME C200 (versões afetadas não especificadas)
ipTIME NAS (versões afetadas não especificadas)
Descrição:
Este problema foi descoberto quando a câmera IP ipTIME C200 foi sincronizada com o ipTIME NAS. O ipTIME NAS envia e define um cookie usando
setCookie(‘[COOKIE]’), e o valor é transferido para a opção --header no binário wget sem qualquer verificação de validação. Isso permite que invasores remotos executem comandos remotos.Recomendações:
Para a Câmera IP ipTIME C200, considere desativar o recurso de sincronização com o ipTIME NAS até que uma correção esteja disponível.
Para o NAS ipTIME, restrinja o uso da função
setCookie para minimizar o risco de exploração.Evite usar o binário
wget com entradas não validadas do NAS ipTIME até que o problema seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Efm Iptime C200 Ip Camera
Iptime Nas
Wget