Устройства Slican NCP/IPL/IPM/IPU уязвимы к внедрению функций PHP. Удаленный злоумышленник, не прошедший проверку подлинности, может выполнять произвольные команды PHP, отправляя специально созданные запросы к конечной точке /webcti/session_ajax.php.
Эта проблема была исправлена в версиях 1.24.0190 (Slican NCP) и 6.61.0010 (Slican IPL/IPM/IPU).
Показать оригинальное описание (EN)
Slican NCP/IPL/IPM/IPU devices are vulnerable to PHP Function Injection. An unauthenticated remote attacker is able to execute arbitrary PHP commands by sending specially crafted requests to /webcti/session_ajax.php endpoint. This issue was fixed in version 1.24.0190 (Slican NCP) and 6.61.0010 (Slican IPL/IPM/IPU).
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0