PT-2021-17684 · Vizio · Vizio E50X-E1+1
Publicado
2021-08-26
·
Atualizado
2021-09-01
·
CVE-2021-27944
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
**Nome do software vulnerável e versões afetadas:
Vizio P65-F1 versão 6.0.31.4-2
Vizio E50x-E1 versão 10.0.31.4-2
Descrição:
A vulnerabilidade diz respeito a várias APIs de alto privilégio nas Smart TVs Vizio que não aplicam controles de acesso, permitindo que um agente mal-intencionado não autenticado acesse funcionalidades privilegiadas. Isso leva à execução de comandos do sistema operacional. A metodologia específica do ataque envolve o upload de um arquivo.
Recomendações:
Para o Vizio P65-F1 versão 6.0.31.4-2, considere restringir o acesso às APIs de alto privilégio até que uma correção esteja disponível.
Para o Vizio E50x-E1 versão 10.0.31.4-2, considere desativar a funcionalidade de upload de arquivos nas APIs afetadas como uma solução temporária.
Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vizio E50X-E1
Vizio P65-F1