CVE-2020-10181
CVE-2020-10181
En resumen
Una vulnerabilidad en el router Sumavision permite que atacantes creen nuevas cuentas de administrador sin autenticación, obteniendo control total del dispositivo.
Detalle técnico
CWE-352 (CSRF/autorización ausente) en el endpoint goform/formEMR30 permite creación de usuarios con privilegios administrativos sin autenticación mediante parámetro setString manipulado. No se valida autenticación ni tokens CSRF, permitiendo acceso remoto persistente con privilegios de administrador.
Resumen generado y traducido por IA a partir de la descripción oficial.
goform/formEMR30 in Sumavision Enhanced Multimedia Router (EMR) 3.0.4.27 allows creation of arbitrary users with elevated privileges (administrator) on a device, as demonstrated by a setString=new_user<*1*>administrator<*1*>123456 request.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/aPoCs públicas encontradas — 1
cve_referencepacketstormsecurity.com/files/156746/Enhanced-Multimedia-Router-3.0.4.27-Cross-Site-Request-Forgery.htmlno verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →