CVE-2024-1015

SE-elektronic GmbH E-DDC3.3 versões 03.07.03 e superiores

O problema está relacionado a uma vulnerabilidade de execução remota de comandos na funcionalidade de configuração web do dispositivo, permitindo que um invasor envie comandos arbitrários do sistema operacional para o sistema. Isso se deve a um gerenciamento incorreto da geração de código na interface web do firmware do dispositivo. Um invasor poderia explorar essa vulnerabilidade enviando solicitações web especialmente criadas por meio do protocolo CGI, o que poderia permitir a execução de comandos arbitrários. Além disso, há menção a um problema de consumo descontrolado de recursos que poderia permitir que um invasor interrompesse a disponibilidade do painel de administração enviando múltiplos pacotes ICMP.

Para as versões 03.07.03 e superiores, considere desativar a funcionalidade de configuração web até que um patch esteja disponível para impedir a execução remota de comandos.

Como solução temporária, restrinja o acesso ao painel de administração para minimizar o risco de exploração por meio de pacotes ICMP.

Evite usar o protocolo CGI na interface web afetada até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.