PT-2022-21743 · Abode Systems · Iota All-In-One Security Kit
Matt Wiseman
·
Publicado
2022-10-25
·
Atualizado
2022-10-27
·
CVE-2022-33206
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Abode Systems, Inc. iota All-In-One Security Kit, versões 6.9X e 6.9Z
Descrição
A interface web do sistema afetado apresenta vulnerabilidades de injeção de comando do sistema operacional na funcionalidade /action/wirelessConnect. Um invasor pode enviar uma solicitação HTTP especialmente criada para executar comandos arbitrários. O problema decorre do uso inseguro dos parâmetros HTTP
key e default key id. Isso pode levar à construção de um comando do sistema operacional em um deslocamento específico no binário /root/hpgw incluído no firmware.Recomendações
Para a versão 6.9X, considere restringir o acesso à funcionalidade /action/wirelessConnect até que um patch esteja disponível.
Para a versão 6.9Z, evite usar os parâmetros
key e default key id na solicitação HTTP afetada até que o problema seja resolvido.Como solução alternativa temporária, considere desativar a funcionalidade
/action/wirelessConnect para impedir a exploração.Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Iota All-In-One Security Kit