CVE-2021-32530
QSAN XEVO - Command Injection Following via Array function
Em resumo
Uma falha na função Array do QSAN XEVO permite que atacantes injetem e executem comandos do sistema manipulando o parâmetro status, sem necessidade de autenticação. Isso permite que usuários não autorizados assumam controle completo do servidor.
Detalhe técnico
Vulnerabilidade de injeção de comando do sistema operacional na função Array devido à validação insuficiente do parâmetro status, permitindo que atacantes remotos não autenticados injetem comandos maliciosos executados com privilégios do sistema. O vetor de ataque é remoto sem necessidade de autenticação, resultando em execução arbitrária de código e comprometimento total do sistema.
Resumo gerado e traduzido por IA a partir da descrição oficial.
OS command injection vulnerability in Array function in QSAN XEVO allows remote unauthenticated attackers to execute arbitrary commands via status parameter. The referred vulnerability has been solved with the updated version of QSAN XEVO v2.1.0.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
QSAN · XEVOQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →