CVE-2021-28203

ASUS BMC's firmware: command injection - Web Set Media Image function

CVSS 7.2 HIGHEPSS 2.0%CWE-78

Em resumo

Uma falha na interface web de gerenciamento do BMC ASUS permite que um administrador execute comandos arbitrários no dispositivo através da função Set Media Image devido à falta de validação de entrada.

Detalhe técnico

A função Web Set Media Image no firmware do BMC ASUS não sanitiza os parâmetros fornecidos pelo usuário, permitindo injeção de comandos. Um atacante autenticado com privilégios de administrador pode explorar essa vulnerabilidade para obter execução remota de código no dispositivo afetado.

Resumo gerado e traduzido por IA a partir da descrição oficial.

The Web Set Media Image function in ASUS BMC’s firmware Web management page does not filter the specific parameter. As obtaining the administrator permission, remote attackers can launch command injection to execute command arbitrary.

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

ASUS · BMC firmware for ASMB8-iKVM ASUS · BMC firmware for Z10PE-D16 WS ASUS · BMC firmware for Z10PR-D16

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://www.asus.com/content/ASUS-Product-Security-Advisory/https://www.asus.com/tw/support/callus/https://www.twcert.org.tw/tw/cp-132-4573-aa336-1.html