Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-00078

Опубликовано: 15 нояб. 2021
Источник: fstec
CVSS3: 9.1
CVSS2: 9
EPSS Низкий

Описание

Уязвимость функции загрузки учетных данных приложения Web Manager SSL встроенного модуля Wi-Fi Lantronix PremierWave 2050 существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды с помощью специально созданного HTTP-запроса

Вендор

Belden Inc.
Lantronix, Inc.

Наименование ПО

Hirschmann BAT-C2
PremierWave 2050

Версия ПО

до 09.12.01.00R01 (Hirschmann BAT-C2)
8.9.0.0R4 (PremierWave 2050)

Тип ПО

ПО программно-аппаратного средства АСУ ТП
ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Lantronix PremierWave:
https://talosintelligence.com/vulnerability_reports/TALOS-2021-1314
Для Hirschmann BAT-C2:
belden.com/dfsmedia/f1e38517e0cd4caa8b1acb6619890f5e/15087-source/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 77%
0.01024
Низкий

9.1 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2021-21875

CVSS3: 9.1
nvd
около 4 лет назад

A specially-crafted HTTP request can lead to arbitrary command execution in EC keypasswd parameter. An attacker can make an authenticated HTTP request to trigger this vulnerability.

github логотип

GHSA-54gp-52r5-m6x9

CVSS3: 9.1
github
около 4 лет назад

A specially-crafted HTTP request can lead to arbitrary command execution in EC keypasswd parameter. An attacker can make an authenticated HTTP request to trigger this vulnerability.

EPSS

Процентиль: 77%
0.01024
Низкий

9.1 Critical

CVSS3

9 Critical

CVSS2