Уязвимость веб-сервера микропрограммного обеспечения VoIP-шлюзов DBLTek существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить пароль администратора с использованием запроса «frame.html?content=/dev/mtdblock/5» и использовать его для HTTP-аутентификации, необходимой для выполнения команд операционной системы путем передачи специально сформированной строки («<%% 25call system.exec:») к сценарию «change_password .csp» в параметре «password»
Установка обновленний микропрограммного обеспечения устройства
| Балл | 10 — критическая опасность |