PT-2022-11237 · Reolink · Reolink Rlc-410W
Francesco Benvenuto
·
Publicado
2022-01-28
·
Atualizado
2022-06-15
·
CVE-2021-40414
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H |
Nome do software vulnerável e versões afetadas
reolink RLC-410W versão 3.0.0.136 20121102
Descrição
Existe um problema de permissão padrão incorreta na funcionalidade cgi check ability do cgiserver.cgi. A API SetMdAlarm define parâmetros de detecção de movimento, permitindo a configuração da sensibilidade e de áreas da câmera a serem ignoradas para a detecção de movimento. Devido à ausência de um caso específico para a API SetMdAlarm em cgi check ability, a permissão padrão do usuário é 7, o que permite que usuários não administrativos alterem os parâmetros de detecção de movimento.
Recomendações
Para o Reolink RLC-410W versão 3.0.0.136 20121102, considere restringir o acesso à API SetMdAlarm para impedir que usuários não administrativos alterem os parâmetros de detecção de movimento até que um patch esteja disponível. Como solução alternativa temporária, desativar a funcionalidade cgi check ability poderia minimizar o risco de exploração.
Exploit
Correção
Improper Access Control
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Reolink Rlc-410W