Проблема была обнаружена в Lantronix EDS5000 2.1.0.0R3. Страница «Информация о журнале» позволяет пользователям просматривать файлы журналов, указав их имена. Из-за отсутствия очистки в параметре имени файла злоумышленник, прошедший проверку подлинности, может внедрить произвольные команды ОС, которые выполняются с правами root.
Показать оригинальное описание (EN)
An issue was discovered in Lantronix EDS5000 2.1.0.0R3. The Log Info page allows users to see log files by specifying their names. Due to a missing sanitization in the file name parameter, an authenticated attacker can inject arbitrary OS commands that are executed with root privileges.