Внедрение команд ОС
уязвимость существует в XWEB Pro версии 1.12.1 и более ранних версиях, что позволяет
аутентифицированный злоумышленник для достижения удаленного выполнения кода в системе путем
внедрение вредоносного ввода в поле устройств обновления прошивки
действие обновления для обеспечения удаленного выполнения кода.
Показать оригинальное описание (EN)
An OS command injection vulnerability exists in XWEB Pro version 1.12.1 and prior, enabling an authenticated attacker to achieve remote code execution on the system by injecting malicious input into the devices field of the firmware update update action to achieve remote code execution.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 6
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Copeland Xweb_300d_Pro_Firmware
cpe:2.3:o:copeland:xweb_300d_pro_firmware:*:*:*:*:*:*:*:*
|
— |
<= 1.12.1
|
|
Copeland Xweb_300d_Pro
cpe:2.3:h:copeland:xweb_300d_pro:-:*:*:*:*:*:*:*
|
— | — |
|
Copeland Xweb_500d_Pro_Firmware
cpe:2.3:o:copeland:xweb_500d_pro_firmware:*:*:*:*:*:*:*:*
|
— |
<= 1.12.1
|
|
Copeland Xweb_500d_Pro
cpe:2.3:h:copeland:xweb_500d_pro:-:*:*:*:*:*:*:*
|
— | — |
|
Copeland Xweb_500b_Pro_Firmware
cpe:2.3:o:copeland:xweb_500b_pro_firmware:*:*:*:*:*:*:*:*
|
— |
<= 1.12.1
|
|
Copeland Xweb_500b_Pro
cpe:2.3:h:copeland:xweb_500b_pro:-:*:*:*:*:*:*:*
|
— | — |