Из-за отсутствия нейтрализации специальных элементов команды ОС могут вводиться посредством подтверждения соединения TLS-SRP, которое в конечном итоге запускается от имени пользователя root.
Эта проблема затрагивает MR9600: 1.0.4.205530; МХ4200: 1.0.13.210200.
Показать оригинальное описание (EN)
Due to missing neutralization of special elements, OS commands can be injected via the handshake of a TLS-SRP connection, which are ultimately run as the root user. This issue affects MR9600: 1.0.4.205530; MX4200: 1.0.13.210200.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1