PT-2021-7251 · Infiray · Infiray Iray-A8Z3
F. Lienhart
+1
·
Publicado
2021-02-01
·
Atualizado
2022-07-25
·
CVE-2022-31208
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Infiray IRAY-A8Z3 versão 1.0.957
Descrição
O problema está relacionado ao servidor web do Infiray IRAY-A8Z3, que contém um endpoint capaz de executar comandos arbitrários. Isso pode ser feito através da manipulação do parâmetro de URL
cmd string. A vulnerabilidade está associada a um gerenciamento incorreto da geração de código, permitindo que um invasor execute código arbitrário usando o parâmetro cmd string.Recomendações
Para o Infiray IRAY-A8Z3 versão 1.0.957, como solução temporária, considere restringir o acesso ao endpoint vulnerável ou desativar o uso do parâmetro
cmd string até que um patch esteja disponível. Evite usar o parâmetro cmd string no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Infiray Iray-A8Z3