Argitalpen data: 2022/03/04
Garrantzia:Altua
Kaltetutako baliabideak:
IPCOMM ipDIO, firmwarearen 3.9 2016/04/18 / IPDIO SW 3.9 bertsioa.
Azalpena:
S21Sec-eko Aarón Flecha Menéndez-ek 4 ahultasunen berri eman dio CISAri, 2 larritasun altukoak eta 2 ertainekoak. Horiek baliatuz erasotzaile batek kode arbitrarioa injekta eta exekuta lezake.
Konponbidea:
IPCOMMek ez du zerbitzurik eskaintzen ipDIOrako, eta bere bizitza baliagarriaren zikloaren amaieran dagoela kontsideratzen da.
IPCOMMek gomendatzen du ip4Cloud-era eguneratzea, ipDIO-ren ondorengoa. Eguneraketari buruzko zerbitzu teknikoa eskura ezazu IPCOMMen bezero arretaren zentrotik.
Xehetasuna:
- Kaltetuta dagoen gailuaren web aplikazioan sekzio batzuk kargatzerakoan iragazkirik ez egotea balia lezake erasotzaile batek asmo gaiztoko kodea injektatzeko parametro jakinen gainean, eta hori interpretatua izango da erabiltzaile legitimo bat informazioa erakusten den webgunearen atalera sartzen denean. Injektatutako kodea exekutatzen da erabiltzaile legitimo bat existitzen den konfigurazio bat (Administrative Services) kargatzen, kopiatzen, deskargatzen edo ezabatzen saiatzen denean. Larritasun altuko ahultasun horretarako CVE-2022-24915 identifikatzailea erabili da.
- Kaltetuta dagoen gailuaren web aplikazioan sekzio batzuk kargatzerakoan iragazkirik ez egotea balia lezake erasotzaile batek asmo gaiztoko kodea injektatzeko parametro jakinen gainean, eta hori interpretatua izango da erabiltzaile legitimo bat informazioa erakusten den webgunearen atalera sartzen denean. Injektatutako kodea exekutatzen da erabiltzaile legitimo bat historia berrikusten saiatzen denean. Larritasun altuko ahultasun horretarako CVE-2022-22985 identifikatzailea erabili da.
Larritasun ertaineko gainerako ahultasunetarako honako identifikatzaile hauek esleitu dira: CVE-2022-24432 eta CVE-2022-21146.
Etiketak:Eguneraketa, Azpiegitura kritikoak, Ahultasuna
