CH azonosító
CH-4571Angol cím
ACTi Multiple Products Web Configurator Shell Command Injection VulnerabilityFelfedezés dátuma
2011.03.18.Súlyosság
MagasÉrintett rendszerek
ACD-2100 Video EncoderACM-1432 Bullet Camera
ACTi Corporation
Érintett verziók
ACTi ACD-2100 Video Encoder
ACTi ACM-1432 Bullet Camera
Összefoglaló
Az ACTi termékek olyan sérülékenységét jelentették, amelyet a támadók kihasználhatnak a sérülékeny eszköz feltörésére.
Leírás
A Web Configurator management interfész, cgi-bin/test “iperf” paraméterének átadott bemeneti adat ellenőrzése nem megfelelő, mielőtt parancs sor argumentumként felhasználásra kerülne. Ez kihasználható tetszőleges shell parancs befecskendezésére.
A sérülékenységet az alábbi termékekben jelentették:
- ACTi ACD-2100 Video Encoder
- ACTi ACM-1432 Bullet Camera
Megoldás
A Web Configurator interfészhez csak megbízható host-oknak engedélyezze a hozzáférést.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)