PT-2021-23818 · Ericsson · Ericsson Network Location
Akkus
+1
·
Publicado
2021-11-03
·
Atualizado
2021-11-30
·
CVE-2021-43339
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Ericsson Network Location anteriores a 31/07/2021
Descrição
A vulnerabilidade permite que um invasor autenticado injete comandos por meio do parâmetro
file name na funcionalidade de exportação. Isso poderia ser usado para criar um novo usuário administrador.Recomendações
Para versões anteriores a 31/07/2021, considere restringir o acesso à funcionalidade de exportação até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o parâmetro
file name na funcionalidade de exportação para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ericsson Network Location