CVE-2021-28204
ASUS BMC's firmware: command injection - Modify user’s information function
Em resumo
Uma falha na página de gerenciamento web do firmware ASUS BMC permite que um atacante com acesso de administrador injete e execute comandos arbitrários através da função de modificação de usuários, explorando parâmetros não filtrados. Isso poderia dar ao atacante controle total do sistema.
Detalhe técnico
Vulnerabilidade CWE-78 de injeção de comando no firmware ASUS BMC afeta o endpoint de modificação de informações de usuário da interface de gerenciamento web. Um atacante autenticado com privilégios de administrador pode injetar comandos do sistema operacional através de parâmetros insuficientemente sanitizados, resultando em execução arbitrária de comando com privilégios de BMC.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The specific function in ASUS BMC’s firmware Web management page (Modify user’s information function) does not filter the specific parameter. As obtaining the administrator permission, remote attackers can launch command injection to execute command arbitrary.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
ASUS · BMC firmware for ASMB8-iKVMASUS · BMC firmware for Z10PE-D16 WSASUS · BMC firmware for Z10PR-D16Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →