CVE-2021-40407
CVE-2021-40407
Em resumo
As configurações de rede da câmera permitem que invasores injetem comandos do sistema através do parâmetro de domínio DDNS sem validação adequada. Um atacante pode enviar uma requisição HTTP especialmente crafted para executar comandos arbitrários no dispositivo.
Detalhe técnico
Existe injeção de comando do SO no endpoint da API SetDdns onde a variável ddns->domain não é suficientemente sanitizada antes de ser usada em operações do sistema. Um atacante remoto não autenticado pode injetar metacaracteres de shell através do parâmetro domain para conseguir execução arbitrária de comandos com privilégios do dispositivo.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An OS command injection vulnerability exists in the device network settings functionality of reolink RLC-410W v3.0.0.136_20121102. At [1] or [2], based on DDNS type, the ddns->domain variable, that has the value of the domain parameter provided through the SetDdns API, is not validated properly. This would lead to an OS command injection. An attacker can send an HTTP request to trigger this vulnerability.
CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →