Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-00666

Опубликовано: 22 янв. 2024
Источник: fstec
CVSS3: 8
CVSS2: 7.7
EPSS Средний

Описание

Уязвимость функция setNatConfig файла /Interface/DevManage/VM.php микропрограммного обеспечения уличных терминалов для интеллектуального управления транспортом Uniview ISC 2500-S существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды путём их внедрения в аргумент natAddress/natPort/natServerPort

Вендор

Uniview

Наименование ПО

Uniview ISC 2500-S

Версия ПО

- (Uniview ISC 2500-S)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,7)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройству;
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвиимости;
- использование средств обнаружения и предотвращения вторжений для отслеживания попыток эксплуатации уязвимости.

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.61181
Средний

8 High

CVSS3

7.7 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-0778

CVSS3: 8
nvd
около 2 лет назад

** UNSUPPORTED WHEN ASSIGNED ** A vulnerability, which was classified as critical, has been found in Uniview ISC 2500-S up to 20210930. Affected by this issue is the function setNatConfig of the file /Interface/DevManage/VM.php. The manipulation of the argument natAddress/natPort/natServerPort leads to os command injection. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-251696. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. NOTE: Vendor was contacted early and confirmed immediately that the product is end-of-life. It should be retired and replaced.

github логотип

GHSA-82vc-jg89-jq37

CVSS3: 8
github
около 2 лет назад

** UNSUPPORTED WHEN ASSIGNED ** A vulnerability, which was classified as critical, has been found in Uniview ISC 2500-S up to 20210930. Affected by this issue is the function setNatConfig of the file /Interface/DevManage/VM.php. The manipulation of the argument natAddress/natPort/natServerPort leads to os command injection. The exploit has been disclosed to the public and may be used. The identifier of this vulnerability is VDB-251696. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. NOTE: Vendor was contacted early and confirmed immediately that the product is end-of-life. It should be retired and replaced.

EPSS

Процентиль: 98%
0.61181
Средний

8 High

CVSS3

7.7 High

CVSS2