PT-2024-5851 · Raisecom · Raisecom Msg2100E+3
Netsecfish
·
Publicado
2024-07-26
·
Atualizado
2026-02-03
·
CVE-2024-7120
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Raisecom MSG1200, MSG2100E, MSG2200 e MSG2300 versão 3.90
Descrição
Foi encontrada uma vulnerabilidade crítica no componente de interface web dos dispositivos Raisecom, especificamente no arquivo list base config.php. A manipulação do argumento
template leva à injeção de comandos no sistema operacional, permitindo que invasores remotos executem comandos arbitrários. A exploração foi divulgada ao público e pode estar em uso. A vulnerabilidade pode ser explorada por meio de um ataque remoto, permitindo potencialmente que invasores executem código arbitrário através da injeção de um comando curl especialmente criado.Recomendações
Para os dispositivos Raisecom MSG1200, MSG2100E, MSG2200 e MSG2300 versão 3.90, como solução temporária, considere desativar o arquivo
list base config.php ou restringir o acesso à interface web até que um patch esteja disponível. Evite usar o argumento template no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
OS Command Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Raisecom Msg1200
Raisecom Msg2100E
Raisecom Msg2200
Raisecom Msg2300