Ubee EVW3226 router sérülékenységei

CH azonosító

CH-13297

Angol cím

Ubee EVW3226 vulnerabilities

Felfedezés dátuma

2016.06.01.

Súlyosság

Magas

Érintett rendszerek

United Linux

Érintett verziók

EVW3226_1.0.20 és előtti.

Összefoglaló

Az Ubee EVW3226 kábel router magas kockázati besorolású sérülékenységei váltak ismertté, melyeket kihasználva a támadó bizalmas információkhoz juthat, vagy tetszőleges parancsot futtathat az érintett eszközön. A sérülékenységeket kiküszöbölő megoldás még nem szerezhető be a gyártótól.

Leírás

Az eszköznek összesen öt hibáját fedezték fel:

  1. Az admin interfész nem expliciten igényel  hitelesítést, mikor egy korábban kért konfigurációs mentést töltenek le róla.
  2. Az admin felhasználó jelszava szövegként van eltárolva az eszközön, amit egy támadó könnyedén felhasználhat.
  3. A titkosított konfiguráció mentés nem kap titkosítást, csak egy pass.txt fájlban hozzáfűzi az archívumhoz a felhasználótól bekért jelszavat.
  4. A busybox tar implementáció lehetővé teszi, hogy tetszőleges fájlokat töltsenek fel az eszközre, ami segítségével egy támadó tetszőleges parancsot futtathat le az eszközön.
  5. Az URL dekódoló hibája pedig puffer túlcsorduláshoz vezethet.

Megoldás

Ismeretlen

Megoldás

Egyenlőre nem érhető el javítás, és a hibák kikerülésére sincs lehetőség.


Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »