PT-2022-12430 · Terramaster · Terramaster F4-210+2
N0Tme
·
Publicado
2022-04-25
·
Atualizado
2023-08-08
·
CVE-2021-45841
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Terramaster F4-210, F2-210, versões do TOS 4.2.X (4.2.15-2107141517)
Descrição
A vulnerabilidade permite que um invasor assine cookies de sessão por conta própria caso conheça o endereço MAC do alvo e o hash da senha do usuário. Além disso, usuários convidados, que estão desativados por padrão, podem ser explorados usando um hash nulo ou vazio, permitindo que um invasor não autenticado faça login como convidado.
Recomendações
Para o Terramaster F4-210 e F2-210 com a versão 4.2.15-2107141517 do TOS, considere desativar as contas de usuário convidado para evitar a exploração.
Como solução temporária, restrinja o acesso à funcionalidade de login até que um patch esteja disponível.
Evite usar hashes nulos ou vazios para usuários convidados a fim de minimizar o risco de exploração.
Exploit
Correção
Improper Authentication
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Tos
Terramaster F2-210
Terramaster F4-210