CVE-2020-10181
CVE-2020-10181
Em resumo
Uma falha no roteador Sumavision permite que atacantes criem novas contas de administrador sem fazer login, obtendo controle total do dispositivo.
Detalhe técnico
CWE-352 (CSRF/autorização ausente) no endpoint goform/formEMR30 permite criação de usuários com privilégios administrativos sem autenticação via parâmetro setString manipulado. Nenhuma validação de autenticação ou token CSRF é realizada, permitindo acesso remoto persistente com privilégios de administrador.
Resumo gerado e traduzido por IA a partir da descrição oficial.
goform/formEMR30 in Sumavision Enhanced Multimedia Router (EMR) 3.0.4.27 allows creation of arbitrary users with elevated privileges (administrator) on a device, as demonstrated by a setString=new_user<*1*>administrator<*1*>123456 request.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 1
cve_referencepacketstormsecurity.com/files/156746/Enhanced-Multimedia-Router-3.0.4.27-Cross-Site-Request-Forgery.htmlnão verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →