PT-2021-7249 · Infiray · Infiray Iray-A8Z3
F. Lienhart
+1
·
Publicado
2021-02-01
·
Atualizado
2022-07-25
·
CVE-2022-31210
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Infiray IRAY-A8Z3 versão 1.0.957
Descrição
Foi detectada uma falha no arquivo binário /usr/local/sbin/webproject/set param.cgi, que contém credenciais codificadas de forma rígida para o aplicativo web. Essas contas são consideradas contas de backdoor, pois não podem ser desativadas nem ter suas senhas alteradas. A exploração dessa vulnerabilidade pode permitir que um invasor remoto eleve seus privilégios.
Recomendações
Para o Infiray IRAY-A8Z3 versão 1.0.957, considere desativar o acesso ao arquivo /usr/local/sbin/webproject/set param.cgi até que um patch esteja disponível para remover as credenciais codificadas. Restrinja o acesso ao aplicativo web para minimizar o risco de exploração. Evite usar as contas afetadas até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Infiray Iray-A8Z3