Прошивка Hereta ETH-IMC408M версии 1.0.15 и более ранних содержит уязвимость подделки межсайтовых запросов, которая позволяет злоумышленникам изменять конфигурацию устройства, используя отсутствующую защиту CSRF в setup.cgi. Злоумышленники могут размещать вредоносные страницы, которые отправляют поддельные запросы, используя автоматически включенные учетные данные базовой аутентификации HTTP для добавления учетных записей RADIUS, изменения настроек сети или запуска диагностики.
Показать оригинальное описание (EN)
Hereta ETH-IMC408M firmware version 1.0.15 and prior contain a cross-site request forgery vulnerability that allows attackers to modify device configuration by exploiting missing CSRF protections in setup.cgi. Attackers can host malicious pages that submit forged requests using automatically-included HTTP Basic Authentication credentials to add RADIUS accounts, alter network settings, or trigger diagnostics.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Hereta Eth-Imc408m_Firmware
cpe:2.3:o:hereta:eth-imc408m_firmware:*:*:*:*:*:*:*:*
|
— |
<= 1.0.15
|
|
Hereta Eth-Imc408m
cpe:2.3:h:hereta:eth-imc408m:-:*:*:*:*:*:*:*
|
— | — |