CVE-2021-32530
QSAN XEVO - Command Injection Following via Array function
En resumen
Una falla en la función Array de QSAN XEVO permite que atacantes inyecten y ejecuten comandos del sistema manipulando el parámetro status, sin necesidad de autenticación. Esto permite que usuarios no autorizados tomen control completo del servidor.
Detalle técnico
Vulnerabilidad de inyección de comandos del sistema operacional en la función Array debido a validación insuficiente del parámetro status, permitiendo que atacantes remotos no autenticados inyecten comandos maliciosos ejecutados con privilegios del sistema. El vector de ataque es remoto sin requerimiento de autenticación, resultando en ejecución arbitraria de código y compromiso total del sistema.
Resumen generado y traducido por IA a partir de la descripción oficial.
OS command injection vulnerability in Array function in QSAN XEVO allows remote unauthenticated attackers to execute arbitrary commands via status parameter. The referred vulnerability has been solved with the updated version of QSAN XEVO v2.1.0.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
QSAN · XEVO¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →