CVE-2024-12856
Four-Faith Industrial Router adjust_sys_time OS Command Injection
Em resumo
Um roteador industrial Four-Faith (modelos F3x24 e F3x36) permite que atacantes executem comandos prejudiciais no dispositivo alterando as configurações de hora do sistema. Se a senha padrão não for alterada, qualquer pessoa na internet pode explorar essa falha sem precisar de acesso legítimo.
Detalhe técnico
Uma vulnerabilidade de injeção de comando do SO existe no endpoint apply.cgi ao processar ajustes de hora do sistema. Atacantes remotos autenticados podem injetar comandos arbitrários; a presença de credenciais padrão não alteradas elimina a barreira de autenticação, permitindo execução remota de código não autenticada com acesso de nível de rede.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The Four-Faith router models F3x24 and F3x36 are affected by an operating system (OS) command injection vulnerability. At least firmware version 2.0 allows authenticated and remote attackers to execute arbitrary OS commands over HTTP when modifying the system time via apply.cgi. Additionally, this firmware version has default credentials which, if not changed, would effectively change this vulnerability into an unauthenticated and remote OS command execution issue.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →