Ubiquiti Networks termékek sérülékenysége

2017. március 21. 07:39

CH azonosító

CH-13935

Angol cím

Ubiquiti Networks products vulnerability

Felfedezés dátuma

2017.03.16.

Súlyosság

Magas

Érintett rendszerek

AirOS
Ubiquiti Networks

Érintett verziók

8.0.1 előtti

Összefoglaló

Az Ubiquiti Networks termékek magas kockázati besorolású sérülékenysége vált ismertté, melyet kihasználva a támadó átveheti a rendszer feletti irányítást. A sérülékenységet kiküszöbölő megoldás már beszerezhető a gyártótól.

Leírás

A sérülékenységet a pingtest_action.cgi komponens hibája, és részben az elavult 1997-es PHP 2.0.1-es verzió használata okozza.

A hibát autentikált alacsony privilégiumú, csak olvasási jogosultságú, vagy jogosulatlan távoli támadó használhatja ki, amennyiben sikerül rávennie a felhasználót arra, hogy egy speciálisan megszerkesztett linkre kattintson.

A támadó ezek után reverse root shell-t nyithat és átveheti a rendszer feletti irányítást, továbbá az eszköztől függően akár más eszközöket is manipulálhat a hálózatban.

Megoldás

Frissítsen a legújabb verzióra

Megoldás

A gyártó az érintett 44 eszközből 37-hez már elérhetővé tette a sérülékenységet kiküszöbölő airOS 8.0.1-es verziót.

Hivatkozások

Gyártói referencia: community.ubnt.com
Egyéb referencia: www.sec-consult.com
Egyéb referencia: www.securityweek.com

Legfrissebb sérülékenységek

CVE-2024-20358 – Cisco ASA és FTD sérülékenysége

CVE-2024-20359 – Cisco ASA és FTD sérülékenysége

CVE-2024-20353 – Cisco ASA és FTD sérülékenysége

CVE-2024-31857 – WordPress Forminator plugin sérülékenysége

CVE-2024-31077 – WordPress Forminator plugin sérülékenysége

CVE-2024-28890 – WordPress Forminator plugin sérülékenysége

CVE-2024-20295 – Cisco IMC sérülékenysége

CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége

CVE-2024-3566 – Windows CreateProcess sérülékenysége

CVE-2024-22423 – yt-dlp sérülékenysége

Tovább a sérülékenységekhez »

Ubiquiti Networks termékek sérülékenysége