Прошивка Nexxt Solutions Nebula 300+ до версии 12.01.01.37 не реализует защиту CSRF на административных конечных точках с изменением состояния. Удаленный злоумышленник может побудить проверенного администратора отправить специально созданные запросы, которые изменяют настройки устройства, включая конфигурацию, связанную с безопасностью, без намерения администратора.
Показать оригинальное описание (EN)
Nexxt Solutions Nebula 300+ firmware through version 12.01.01.37 does not implement CSRF protections on state-changing endpoints such as /goform/setSysTools and other administrative interfaces. As a result, an attacker can craft malicious web requests that are executed in the context of an authenticated administrator’s browser, leading to unauthorized configuration changes, including enabling services or modifying system settings.
Характеристики атаки
Последствия
Строка CVSS v4.0