Из-за отсутствия нейтрализации специальных элементов команды ОС могут быть внедрены через функцию обновления соединения TLS-SRP, которое обычно используется для настройки устройств внутри ячеистой сети.
Эта проблема затрагивает MR9600: 1.0.4.205530; МХ4200: 1.0.13.210200.
Показать оригинальное описание (EN)
Due to missing neutralization of special elements, OS commands can be injected via the update functionality of a TLS-SRP connection, which is normally used for configuring devices inside the mesh network. This issue affects MR9600: 1.0.4.205530; MX4200: 1.0.13.210200.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1