CVE-2021-27561
CVE-2021-27561
Vexday Risk Score
95Corregir ahora
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 9.8EPSS 82.5%KEV simPoC —Nuclei simMetasploit —Patch —
Ciclo de vida
15 oct 2021Publicada en NVD
03 nov 2021Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Yealink Device Management permite que atacantes ejecuten comandos con privilegios de administrador sin autenticarse, a través de una dirección web específica. Esto da control total del dispositivo al invasor.
Detalle técnico
Un atacante remoto no autenticado puede inyectar comandos arbitrarios del sistema operativo a través del endpoint /sm/api/v1/firewall/zone/services en Yealink DM 3.6.0.20, resultando en ejecución de código con privilegios root. La vulnerabilidad resulta de validación insuficiente de entrada en parámetros suministrados por el usuario pasados a funciones de ejecución de comandos del sistema.
Resumen generado y traducido por IA a partir de la descripción oficial.
Yealink Device Management (DM) 3.6.0.20 allows command injection as root via the /sm/api/v1/firewall/zone/services URI, without authentication.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →