CVE-2018-4063


2025. december 16. 07:43

Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type sérülékenysége
Angol cím: Sierra Wireless AirLink ALEOS Unrestricted Upload of File with Dangerous Type Vulnerability

Publikálás dátuma: 2025.12.16.
Utolsó módosítás dátuma: 2025.12.16.

Leírás

A program lehetővé teszi, hogy a támadó olyan veszélyes fájlokat töltsön fel vagy küldjön át, amelyek automatikusan futtathatók a termék környezetében.

Leírás forrása: CWE-434 Leírás utolsó módosítása: 2025.12.11.

Elemzés leírás

Eredeti nyelven: An exploitable remote code execution vulnerability exists in the upload.cgi functionality of Sierra Wireless AirLink ES450 FW 4.9.3. A specially crafted HTTP request can upload a file, resulting in executable code being uploaded, and routable, to the webserver. An attacker can make an authenticated HTTP request to trigger this vulnerability.

Elemzés leírás forrása: CVE-2018-4063 Elemzés leírás utolsó módosítása: 2025.12.15.

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 8.8 (Magas)
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 2.8

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): Low
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High

Következmények

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

packetstormsecurity.com
securityfocus.com
us-cert.gov
talosintelligence.com
cisa.gov
forescout.com

Sérülékeny szoftverek

Configuration 1
cpe:2.3:o:sierrawireless:aleos:*:*:*:*:*:*:*:* Up to (excluding) 4.4.9
Running on/with
cpe:2.3:h:sierrawireless:airlink_es440:-:*:*:*:*:*:*:*
cpe:2.3:h:sierrawireless:airlink_gx400:-:*:*:*:*:*:*:*
cpe:2.3:h:sierrawireless:airlink_gx440:-:*:*:*:*:*:*:*
cpe:2.3:h:sierrawireless:airlink_ls300:-:*:*:*:*:*:*:*

Configuration 2
cpe:2.3:o:sierrawireless:aleos:*:*:*:*:*:*:*:* Up to (excluding) 4.11.0
Running on/with
cpe:2.3:h:sierrawireless:airlink_lx40:-:*:*:*:*:*:*:*
cpe:2.3:h:sierrawireless:airlink_lx60:-:*:*:*:*:*:*:*
cpe:2.3:h:sierrawireless:airlink_mp70:-:*:*:*:*:*:*:*
cpe:2.3:h:sierrawireless:airlink_mp70e:-:*:*:*:*:*:*:*
cpe:2.3:h:sierrawireless:airlink_rv50:-:*:*:*:*:*:*:*
cpe:2.3:h:sierrawireless:airlink_rv50x:-:*:*:*:*:*:*:*

Configuration 3
cpe:2.3:o:sierrawireless:aleos:*:*:*:*:*:*:*:* Up to (excluding) 4.9.4
Running on/with
cpe:2.3:h:sierrawireless:airlink_es450:-:*:*:*:*:*:*:*
cpe:2.3:h:sierrawireless:airlink_gx450:-:*:*:*:*:*:*:*

Címkék

Sierra Wireless

Legfrissebb sérülékenységek
CVE-2025-48572 – Android Framework Privilege Escalation sérülékenysége
CVE-2026-21877 – n8n Remote Code Execution via Arbitrary File Write sérülékenység
CVE-2025-68668 – n8n Arbitrary Command Execution sérülékenység
CVE-2025-68613 – n8n Remote Code Execution via Expression Injection sérülékenység
CVE-2026-21858 – n8n Unauthenticated File Access via Improper Webhook Request Handling sérülékenység
CVE-2025-37164 – Hewlett Packard Enterprise OneView Code Injection sérülékenység
CVE-2009-0556 – Microsoft Office PowerPoint Code Injection sérülékenység
CVE-2026-0625 – D-Link DSL Command Injection via DNS Configuration Endpoint sérülékenység
CVE-2020-12812 – Fortinet FortiOS SSL VPN Improper Authentication sérülékenysége
CVE-2025-68428 – jsPDF path traversal sérülékenysége
Tovább a sérülékenységekhez »