Описание
A command injection vulnerability exists in Trane XL824, XL850, XL1050, and Pivot thermostats allowing an attacker to execute arbitrary commands as root using a specially crafted filename. The vulnerability requires physical access to the device via a USB stick.
Ссылки
- Broken Link
- Permissions Required
- Product
- Third Party Advisory
- Broken Link
- Permissions Required
- Product
Уязвимые конфигурации
Конфигурация 1Версия до 5.9.8 (включая)
Одновременно
cpe:2.3:o:trane:xl824_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:trane:xl824:-:*:*:*:*:*:*:*
Конфигурация 2Версия до 5.9.8 (включая)
Одновременно
cpe:2.3:o:trane:xl850_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:trane:xl850:-:*:*:*:*:*:*:*
Конфигурация 3Версия до 5.9.8 (включая)
Одновременно
cpe:2.3:o:trane:xl1050_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:trane:xl1050:-:*:*:*:*:*:*:*
Конфигурация 4Версия до 1.8 (включая)
Одновременно
cpe:2.3:o:trane:pivot_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:trane:pivot:-:*:*:*:*:*:*:*
EPSS
Процентиль: 26%
0.00092
Низкий
6.8 Medium
CVSS3
Дефекты
CWE-74
CWE-77
Связанные уязвимости
CVSS3: 6.8
github
больше 2 лет назад
?A command injection vulnerability exists in Trane XL824, XL850, XL1050, and Pivot thermostats allowing an attacker to execute arbitrary commands as root using a specially crafted filename. The vulnerability requires physical access to the device via a USB stick.
EPSS
Процентиль: 26%
0.00092
Низкий
6.8 Medium
CVSS3
Дефекты
CWE-74
CWE-77