В TP-Link Tapo C260 v1 существует уязвимость внедрения команд из-за неправильной очистки определенных параметров POST во время синхронизации конфигурации. Злоумышленник, прошедший проверку подлинности, может выполнять произвольные системные команды, что сильно влияет на конфиденциальность, целостность и доступность. Это может привести к полной компрометации устройства.
Показать оригинальное описание (EN)
On TP-Link Tapo C260 v1, command injection vulnerability exists due to improper sanitization in certain POST parameters during configuration synchronization. An authenticated attacker can execute arbitrary system commands with high impact on confidentiality, integrity and availability. It may cause full device compromise.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0