В службе SNMP SuperFlex SatelliteReceiver серии SFX SuperFlex компании International Datacasting Corporation (IDC) существует уязвимость, связанная с удаленным выполнением кода (RCE) без проверки подлинности. При развертывании небезопасно предоставляется «частная» строка сообщества SNMP с доступом для чтения и записи по умолчанию. Поскольку агент SNMP запускается от имени пользователя root, удаленный злоумышленник, не прошедший проверку подлинности, может использовать директивы NET-SNMP-EXTEND-MIB, злоупотребляя тем фактом, что в системе используется уязвимая версия net-snmp до 5.8, для выполнения произвольных команд операционной системы с привилегиями root.
Показать оригинальное описание (EN)
An unauthenticated Remote Code Execution (RCE) vulnerability exists in the SNMP service of International Datacasting Corporation (IDC) SFX Series SuperFlex SatelliteReceiver. The deployment insecurely provisions the `private` SNMP community string with read/write access by default. Because the SNMP agent runs as root, an unauthenticated remote attacker can utilize `NET-SNMP-EXTEND-MIB` directives, abusing the fact that the system runs a vulnerable version of net-snmp pre 5.8, to execute arbitrary operating system commands with root privileges.
Характеристики атаки
Последствия
Строка CVSS v4.0