CVE-2021-27561
CVE-2021-27561
Vexday Risk Score
95Corrigir agora
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 9.8EPSS 82.5%KEV simPoC —Nuclei simMetasploit —Patch —
Ciclo de vida
15 out 2021Publicada no NVD
03 nov 2021Exploração ativa (CISA KEV)
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
O Yealink Device Management permite que atacantes executem comandos com privilégios de administrador sem autenticação, através de um endereço web específico. Isso dá controle total do dispositivo ao invasor.
Detalhe técnico
Um atacante remoto não autenticado pode injetar comandos arbitrários do sistema operacional via endpoint /sm/api/v1/firewall/zone/services no Yealink DM 3.6.0.20, resultando em execução de código com privilégios root. A vulnerabilidade resulta de validação insuficiente de entrada em parâmetros fornecidos pelo usuário passados para funções de execução de comandos do sistema.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Yealink Device Management (DM) 3.6.0.20 allows command injection as root via the /sm/api/v1/firewall/zone/services URI, without authentication.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →