PT-2021-21094 · Digi · Digi Transport Dr64+2
Publicado
2021-12-10
·
Atualizado
2021-12-14
·
CVE-2021-35978
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Digi TransPort DR64 (versões afetadas não especificadas)
Digi TransPort SR44 VC74 (versões afetadas não especificadas)
Digi TransPort WR (versões afetadas não especificadas)
Descrição:
Foi descoberta uma vulnerabilidade no protocolo ZING, permitindo a execução remota de comandos arbitrários com privilégios SUPER. Isso permite que um invasor, com conhecimento do protocolo, execute código arbitrário no controlador, incluindo a sobrescrita do firmware, a adição ou remoção de usuários e a desativação do firewall interno.
Recomendações:
Para o Digi TransPort DR64, considere desativar o protocolo ZING até que uma correção esteja disponível.
Para o Digi TransPort SR44 VC74, restrinja o acesso ao controlador para minimizar o risco de exploração.
Para o Digi TransPort WR, evite usar o protocolo ZING para execução remota de comandos até que a falha seja resolvida.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Digi Transport Dr64
Digi Transport Sr44 Vc74
Digi Transport Wr