Проблема была обнаружена в Lantronix EDS5000 2.1.0.0R3. Злоумышленник, прошедший проверку подлинности, может внедрить команды ОС в параметр «имя» при удалении учетных данных SSL через интерфейс управления. Внедренные команды выполняются с правами root.
Показать оригинальное описание (EN)
An issue was discovered in Lantronix EDS5000 2.1.0.0R3. An authenticated attacker can inject OS commands into the "name" parameter when deleting SSL credentials through the management interface. Injected commands are executed with root privileges.