PT-2021-22488 · Nexto+1 · Nexto Xpress Xp340+14
D. Teuchert
+1
·
Publicado
2021-08-23
·
Atualizado
2021-08-26
·
CVE-2021-39243
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Nexto NX3003 versão 1.8.11.0
Nexto NX3004 versão 1.8.11.0
Nexto NX3005 versão 1.8.11.0
Nexto NX3010 versão 1.8.3.0
Nexto NX3020 versão 1.8.3.0
Nexto NX3030 versão 1.8.3.0
Nexto NX5100 versão 1.8.11.0
Nexto NX5101 versão 1.8.11.0
Nexto NX5110 versão 1.1.2.8
Nexto NX5210 versão 1.1.2.8
Nexto Xpress XP300 versão 1.8.11.0
Nexto Xpress XP315 versão 1.8.11.0
Nexto Xpress XP325 versão 1.8.11.0
Nexto Xpress XP340 versão 1.8.11.0
Hadron Xtorm HX3040 versão 1.7.58.0
Descrição
Existe uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) nos dispositivos Altus Nexto, Nexto Xpress e Hadron Xtorm por meio de qualquer ponto de extremidade CGI.
Recomendações
Como solução temporária, considere desativar o acesso a qualquer ponto de extremidade CGI até que uma correção esteja disponível.
Restrinja o acesso aos dispositivos afetados para minimizar o risco de exploração.
Evite usar os dispositivos afetados até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hadron Xtorm Hx3040
Nexto Nx3003
Nexto Nx3004
Nexto Nx3005
Nexto Nx3010
Nexto Nx3020
Nexto Nx3030
Nexto Nx5100
Nexto Nx5101
Nexto Nx5110
Nexto Nx5210
Nexto Xpress Xp300
Nexto Xpress Xp315
Nexto Xpress Xp325
Nexto Xpress Xp340