← volver
CVE-2021-27561

CVE-2021-27561

CVSS 9.8 CRITICALEPSS 82.5%● KEVCWE-78
En resumen

Yealink Device Management permite que atacantes ejecuten comandos con privilegios de administrador sin autenticarse, a través de una dirección web específica. Esto da control total del dispositivo al invasor.

Detalle técnico

Un atacante remoto no autenticado puede inyectar comandos arbitrarios del sistema operativo a través del endpoint /sm/api/v1/firewall/zone/services en Yealink DM 3.6.0.20, resultando en ejecución de código con privilegios root. La vulnerabilidad resulta de validación insuficiente de entrada en parámetros suministrados por el usuario pasados a funciones de ejecución de comandos del sistema.

Resumen generado y traducido por IA a partir de la descripción oficial.
Yealink Device Management (DM) 3.6.0.20 allows command injection as root via the /sm/api/v1/firewall/zone/services URI, without authentication.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://ssd-disclosure.com/?p=4688https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-27561