PT-2022-11243 · Reolink · Reolink Rlc-410W
Francesco Benvenuto
·
Publicado
2022-01-28
·
Atualizado
2022-07-28
·
CVE-2021-40423
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Reolink RLC-410W versão 3.0.0.136 20121102
Descrição
Existe uma vulnerabilidade de negação de serviço na funcionalidade do analisador de comandos da API cgiserver.cgi. Ela pode ser acionada por uma série de solicitações HTTP especialmente criadas, levando à negação de serviço. Um invasor pode explorar essa vulnerabilidade enviando uma solicitação HTTP maliciosa.
Recomendações
Para o Reolink RLC-410W versão 3.0.0.136 20121102, considere restringir o acesso à funcionalidade do analisador de comandos da API cgiserver.cgi até que um patch esteja disponível. Como solução alternativa temporária, evite usar o endpoint da API vulnerável para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Reolink Rlc-410W