PT-2022-15901 · Crestron · Crestron Hd-Md4X2-4K-E
Publicado
2022-01-15
·
Atualizado
2023-03-28
·
CVE-2022-23178
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Crestron HD-MD4X2-4K-E versão 1.0.0.2159
Descrição
Foi descoberta uma falha na qual as credenciais do usuário são divulgadas quando a interface web administrativa do comutador HDMI é acessada sem autenticação. A página
aj.html envia um documento JSON com os campos uname e upassword, que contêm credenciais válidas para autenticação na interface web.Recomendações
Para o Crestron HD-MD4X2-4K-E versão 1.0.0.2159, considere restringir o acesso à interface web administrativa até que uma correção esteja disponível. Como solução alternativa temporária, evite usar a página
aj.html ou restrinja o acesso a ela para minimizar o risco de divulgação de credenciais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Crestron Hd-Md4X2-4K-E