PT-2022-11588 · Unknown · Dcn S4600-10P-Si
Stefan Żaryn
·
Publicado
2022-04-05
·
Atualizado
2022-07-12
·
CVE-2021-42324
CVSS v3.1
7.4
Alta
| Vetor | AV:P/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Dispositivos DCN S4600-10P-SI anteriores à versão R0241.0470
Descrição
Foi descoberta uma falha devido à validação inadequada de parâmetros na interface do console, permitindo que um invasor autenticado com privilégios limitados escape do ambiente sandbox e execute comandos do sistema como root por meio de metacaracteres de shell nos parâmetros do comando
capture. A saída do comando será exibida na interface serial do dispositivo. A exploração requer tanto credenciais quanto acesso físico.Recomendações
Para dispositivos DCN S4600-10P-SI anteriores à versão R0241.0470, atualize para a versão R0241.0470 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à interface do console e limitar o uso do comando
capture para minimizar o risco de exploração.Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dcn S4600-10P-Si