SAPIDO RB-1732 V2.0.43 содержит уязвимость удаленного выполнения команд, которая позволяет неаутентифицированным злоумышленникам выполнять произвольные системные команды, отправляя вредоносные входные данные в конечную точку formSysCmd. Злоумышленники могут отправлять POST-запросы с параметром sysCmd, содержащим команды оболочки для выполнения кода на устройстве с привилегиями маршрутизатора.
Показать оригинальное описание (EN)
SAPIDO RB-1732 V2.0.43 contains a remote command execution vulnerability that allows unauthenticated attackers to execute arbitrary system commands by submitting malicious input to the formSysCmd endpoint. Attackers can send POST requests with the sysCmd parameter containing shell commands to execute code on the device with router privileges.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0