PT-2022-22992 · Abode Systems · Iota All-In-One Security Kit
Matt Wiseman
·
Publicado
2022-10-25
·
Atualizado
2022-10-27
·
CVE-2022-35881
CVSS v3.1
8.8
Alta
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Abode Systems, Inc. iota All-In-One Security Kit, versões 6.9Z e 6.9X
Descrição
O problema decorre de vulnerabilidades de injeção de string de formato na funcionalidade de registro UPnP. Uma negociação UPnP especialmente criada pode levar à corrupção de memória, divulgação de informações e negação de serviço. Um invasor pode hospedar um serviço UPnP malicioso para acionar essas vulnerabilidades, que ocorrem por meio das tags XML
errorCode e errorDescription dentro do manipulador de ação DoUpdateUPnPbyService.Recomendações
Para as versões 6.9Z e 6.9X, considere desativar o manipulador de ação
DoUpdateUPnPbyService como uma solução temporária para minimizar o risco de exploração. Restrinja o acesso à funcionalidade de registro UPnP para impedir negociações UPnP maliciosas. Evite usar as tags XML errorCode e errorDescription no serviço UPnP afetado até que o problema seja resolvido.Exploit
Correção
Use of Externally-Controlled Format String
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Iota All-In-One Security Kit