PT-2021-5058 · Yealink · Yealink Device Management
Alexandre Torres
+1
·
Publicado
2021-02-23
·
Atualizado
2025-11-10
·
CVE-2021-27561
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Yealink Device Management versão 3.6.0.20
Descrição
O problema está relacionado à falta de sanitização de dados de entrada na plataforma Yealink Device Management, permitindo que um invasor remoto execute comandos arbitrários como usuário root. Especificamente, o endpoint da API “/sm/api/v1/firewall/zone/services” está vulnerável à injeção de comandos sem a necessidade de autenticação.
Recomendações
Para o Yealink Device Management versão 3.6.0.20, considere desativar o acesso ao endpoint da API “/sm/api/v1/firewall/zone/services” até que uma correção esteja disponível. Além disso, restrinja o uso do módulo
firewall/zone/services para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.OS Command Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Yealink Device Management