Внедрение команд ОС
уязвимость существует в XWEB Pro версии 1.12.1 и более ранних версиях, что позволяет
аутентифицированный злоумышленник для достижения удаленного выполнения кода в системе путем
внедрение вредоносного ввода в поля SSID и/или пароля Wi-Fi
может привести к удаленному выполнению кода при обработке конфигурации.
Показать оригинальное описание (EN)
An OS command injection vulnerability exists in XWEB Pro version 1.12.1 and prior, enabling an authenticated attacker to achieve remote code execution on the system by injecting malicious input into the Wi-Fi SSID and/or password fields can lead to remote code execution when the configuration is processed.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 6
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Copeland Xweb_300d_Pro_Firmware
cpe:2.3:o:copeland:xweb_300d_pro_firmware:*:*:*:*:*:*:*:*
|
— |
<= 1.12.1
|
|
Copeland Xweb_300d_Pro
cpe:2.3:h:copeland:xweb_300d_pro:-:*:*:*:*:*:*:*
|
— | — |
|
Copeland Xweb_500d_Pro_Firmware
cpe:2.3:o:copeland:xweb_500d_pro_firmware:*:*:*:*:*:*:*:*
|
— |
<= 1.12.1
|
|
Copeland Xweb_500d_Pro
cpe:2.3:h:copeland:xweb_500d_pro:-:*:*:*:*:*:*:*
|
— | — |
|
Copeland Xweb_500b_Pro_Firmware
cpe:2.3:o:copeland:xweb_500b_pro_firmware:*:*:*:*:*:*:*:*
|
— |
<= 1.12.1
|
|
Copeland Xweb_500b_Pro
cpe:2.3:h:copeland:xweb_500b_pro:-:*:*:*:*:*:*:*
|
— | — |