PT-2022-12082 · Reolink · Reolink Rlc-410W
Francesco Benvenuto
·
Publicado
2022-01-28
·
Atualizado
2022-07-29
·
CVE-2021-44385
CVSS v3.1
8.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
reolink RLC-410W versão 3.0.0.136 20121102
Descrição
Existe uma vulnerabilidade de negação de serviço na funcionalidade do analisador de comandos JSON do cgiserver.cgi. Ela pode ser acionada por uma solicitação HTTP especialmente criada, levando a uma reinicialização. O parâmetro
SetPtzSerial não é um objeto, o que pode ser explorado por um invasor enviando uma solicitação HTTP maliciosa.Recomendações
Para a versão 3.0.0.136 20121102, como solução temporária, considere restringir o acesso à funcionalidade do analisador de comandos JSON do cgiserver.cgi até que um patch esteja disponível. Evite usar o parâmetro
SetPtzSerial em solicitações HTTP para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Reolink Rlc-410W