CVE-2024-12856
Four-Faith Industrial Router adjust_sys_time OS Command Injection
En resumen
Un router industrial Four-Faith (modelos F3x24 y F3x36) permite que atacantes ejecuten comandos dañinos en el dispositivo modificando la configuración de hora del sistema. Si la contraseña predeterminada no se cambia, cualquier persona en internet puede explotar esta vulnerabilidad sin necesidad de acceso legítimo.
Detalle técnico
Una vulnerabilidad de inyección de comandos del SO existe en el endpoint apply.cgi al procesar ajustes de hora del sistema. Los atacantes remotos autenticados pueden inyectar comandos arbitrarios; la presencia de credenciales predeterminadas sin cambios elimina la barrera de autenticación, permitiendo ejecución remota de código no autenticada con acceso a nivel de red.
Resumen generado y traducido por IA a partir de la descripción oficial.
The Four-Faith router models F3x24 and F3x36 are affected by an operating system (OS) command injection vulnerability. At least firmware version 2.0 allows authenticated and remote attackers to execute arbitrary OS commands over HTTP when modifying the system time via apply.cgi. Additionally, this firmware version has default credentials which, if not changed, would effectively change this vulnerability into an unauthenticated and remote OS command execution issue.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →