CVE-2019-11061
HG100 has a broken access control vulnerability in its Web API Server
Em resumo
O dispositivo HG100 permite que qualquer pessoa na mesma rede controle os aparelhos IoT conectados sem fazer login, acessando diretamente um endereço web. Um atacante pode ligar/desligar dispositivos, alterar configurações ou interromper seu funcionamento sem senha ou permissão.
Detalhe técnico
O firmware HG100 ≤4.00.06 possui controle de acesso quebrado no endpoint da Web API http://[target]/smarthome/devicecontrol, acessível via HTTP sem autenticação na rede local. Um atacante não autenticado pode executar operações arbitrárias de controle de dispositivos, afetando confidencialidade, integridade e disponibilidade dos aparelhos IoT conectados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A broken access control vulnerability in HG100 firmware versions up to 4.00.06 allows an attacker in the same local area network to control IoT devices that connect with itself via http://[target]/smarthome/devicecontrol without any authentication. CVSS 3.0 base score 10 (Confidentiality, Integrity and Availability impacts). CVSS vector: (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H).
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Produtos afetados
ASUS · HG100 firmwarePoCs públicas encontradas — 1
githubgithub.com/tim124058/ASUS-SmartHome-Exploit★ 23⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →