PT-2022-22989 · Abode Systems · Iota All-In-One Security Kit
Matt Wiseman
·
Publicado
2022-10-25
·
Atualizado
2022-10-27
·
CVE-2022-35878
CVSS v3.1
8.8
Alta
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Abode Systems, Inc. iota All-In-One Security Kit, versões 6.9Z e 6.9X
Descrição
O problema decorre de vulnerabilidades de injeção de string de formato na funcionalidade de registro UPnP. Uma negociação UPnP especialmente criada pode levar à corrupção de memória, divulgação de informações e negação de serviço. Um invasor pode hospedar um serviço UPnP malicioso para acionar essas vulnerabilidades, que são causadas pela injeção de string de formato por meio dos cabeçalhos de resposta HTTP
ST e Location no manipulador de ação DoEnumUPnPService.Recomendações
Para as versões 6.9Z e 6.9X, considere restringir o acesso à funcionalidade de registro UPnP até que um patch esteja disponível.
Como solução alternativa temporária, evite usar o manipulador de ação
DoEnumUPnPService para minimizar o risco de exploração.Restrinja o uso dos cabeçalhos de resposta HTTP
ST e Location no processo de negociação UPnP para prevenir ataques de injeção de string de formato.Exploit
Correção
Use of Externally-Controlled Format String
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Iota All-In-One Security Kit