CVE-2021-40407
CVE-2021-40407
En resumen
La configuración de red de la cámara permite que atacantes inyecten comandos del sistema a través del parámetro de dominio DDNS sin validación adecuada. Un atacante puede enviar una solicitud HTTP especialmente elaborada para ejecutar comandos arbitrarios en el dispositivo.
Detalle técnico
Existe inyección de comandos del SO en el endpoint de la API SetDdns donde la variable ddns->domain no se sanitiza suficientemente antes de usarse en operaciones del sistema. Un atacante remoto no autenticado puede inyectar metacaracteres de shell a través del parámetro domain para lograr la ejecución arbitraria de comandos con privilegios del dispositivo.
Resumen generado y traducido por IA a partir de la descripción oficial.
An OS command injection vulnerability exists in the device network settings functionality of reolink RLC-410W v3.0.0.136_20121102. At [1] or [2], based on DDNS type, the ddns->domain variable, that has the value of the domain parameter provided through the SetDdns API, is not validated properly. This would lead to an OS command injection. An attacker can send an HTTP request to trigger this vulnerability.
CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →