PT-2021-20087 · Commscope · Commscope Ruckus Iot Controller
Jim Becher
+1
·
Publicado
2021-07-07
·
Atualizado
2021-07-09
·
CVE-2021-33217
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
CommScope Ruckus IoT Controller, versões 1.7.1.0 e anteriores
Descrição
Uma falha na aplicação web do CommScope Ruckus IoT Controller permite que usuários autenticados realizem ações arbitrárias de leitura/gravação. O endpoint da API permite que uma solicitação HTTP POST grave conteúdo arbitrário em qualquer arquivo do sistema de arquivos com privilégios de root.
Recomendações
Para as versões 1.7.1.0 e anteriores do CommScope Ruckus IoT Controller, considere restringir o acesso ao endpoint da API que permite gravações arbitrárias de arquivos até que uma correção esteja disponível. Como solução alternativa temporária, limite os privilégios dos usuários autenticados para impedir que realizem ações arbitrárias de leitura/gravação no sistema de arquivos.
Correção
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Commscope Ruckus Iot Controller