ГлавнаяБаза уязвимостей БДУ → BDU:2018-00123
10критическая

BDU:2018-00123

Уязвимость веб-сервера микропрограммного обеспечения VoIP-шлюзов DBLTek, позволяющая нарушителю выполнить произвольные команды операционной системы
Опубликовано: 2018-02-01
Описание

Уязвимость веб-сервера микропрограммного обеспечения VoIP-шлюзов DBLTek существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить пароль администратора с использованием запроса «frame.html?content=/dev/mtdblock/5» и использовать его для HTTP-аутентификации, необходимой для выполнения команд операционной системы путем передачи специально сформированной строки («<%% 25call system.exec:») к сценарию «change_password .csp» в параметре «password»

Затрагиваемое ПО и версии
DBLTek
Способ устранения

Установка обновленний микропрограммного обеспечения устройства

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://blogs.securiteam.com/index.php/archives/3437
Проверьте безопасность своего сайта и почты → Полная проверка домена