← voltar
CVE-2021-27561

CVE-2021-27561

CVSS 9.8 CRITICALEPSS 82.5%● KEVCWE-78
Em resumo

O Yealink Device Management permite que atacantes executem comandos com privilégios de administrador sem autenticação, através de um endereço web específico. Isso dá controle total do dispositivo ao invasor.

Detalhe técnico

Um atacante remoto não autenticado pode injetar comandos arbitrários do sistema operacional via endpoint /sm/api/v1/firewall/zone/services no Yealink DM 3.6.0.20, resultando em execução de código com privilégios root. A vulnerabilidade resulta de validação insuficiente de entrada em parâmetros fornecidos pelo usuário passados para funções de execução de comandos do sistema.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Yealink Device Management (DM) 3.6.0.20 allows command injection as root via the /sm/api/v1/firewall/zone/services URI, without authentication.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://ssd-disclosure.com/?p=4688https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-27561