kritische Sicherheitslücke in dieser Firmware-Version geschlossen
Zusammenfassung
Es besteht eine Sicherheitslücke in allen REX 100 Geräten mit Firmware
Aktualisierung: 03.07.2024 15:30 Uhr
Im Abschnitt Reported by Sebastian Dietz (CyberDanube) wurde hinzugefügt.
CVE ID CVE-2024-5672
Letztes Update: 7. Juni 2024 10:42
Schweregrad 7.2 ( CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H)
Schwäche Unzulässige Neutralisierung spezieller Elemente, die in einem OS-Befehl verwendet werden ('OS Command Injection')
(CWE-78)
Zusammenfassung
Ein entfernter Angreifer mit hohen Privilegien kann beliebige Systembefehle über GET-Anfragen ausführen, da spezielle Elemente, die in einem OS-Befehl verwendet werden, nicht ordnungsgemäß neutralisiert werden.
Auswirkungen Siehe CVE-Beschreibung.
Lösung Abhilfe
Da es sich um einen authentifizierten Exploit handelt, können Sie ihn abschwächen, indem Sie sicherstellen, dass sich kein böswilliger Akteur bei einem anfälligen Gerät anmelden kann.
*Abhilfe Update auf die neueste Version: 2.2.13*