CRITICAL🇬🇧 English

CVE-2023-49255

Hongdian H8951-4G-Esp — dostęp do konsoli routera bez uwierzytelnienia

CVSS 9.8v3.1pub. 2024-01-12upd. 2025-06-03

Konsola zarządzająca routera Hongdian H8951-4G-Esp jest dostępna bez uwierzytelnienia w polu "data", co umożliwia anonimowemu użytkownikowi wykonywanie poleceń w kontekście aktualnie zalogowanego użytkownika. W przypadku gdy zalogowany użytkownik posiada uprawnienia administratora, atakujący może bez autoryzacji przejąć pełną kontrolę nad urządzeniem.

Pokaż oryginał (EN)

The router console is accessible without authentication at "data" field, and while a user needs to be logged in in order to modify the configuration, the session state is shared. If any other user is currently logged in, the anonymous user can execute commands in the context of the authenticated one. If the logged in user has administrative privileges, it is possible to use webadmin service configuration commands to create a new admin user with a chosen password.

🤖 Analiza AI
Jak działa

Podatność wynika z braku wymuszenia uwierzytelnienia (CWE-306) dla endpointu "data" konsoli routera. Stan sesji jest współdzielony między użytkownikami — jeśli w tym samym czasie jakikolwiek użytkownik jest zalogowany, anonimowy atakujący może wykonywać polecenia w kontekście tej sesji. Gdy aktywna sesja należy do administratora, atakujący może wykorzystać polecenia konfiguracyjne usługi webadmin do utworzenia nowego konta administratora z dowolnie wybranym hasłem.

Skutki

Atakujący zdalny, nieuwierzytelniony może przejąć pełną kontrolę administracyjną nad routerem poprzez utworzenie nowego konta administratora, co skutkuje pełnym naruszeniem poufności, integralności i dostępności urządzenia.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu sieciowego do interfejsu zarządzającego routera wyłącznie do zaufanych adresów IP oraz monitorowanie nieautoryzowanych prób dostępu do konsoli.

Kogo dotyczy

Hongdian H8951-4G-Esp Firmware oraz urządzenia Hongdian H8951-4G-Esp; konkretne wersje wskazane w referencjach producenta

Uwagi

Podatność została opisana i opublikowana przez CERT Polska w dniu 12 stycznia 2024 roku (referencje wskazują na blog CERT.pl). Podatność powiązana jest tematycznie z CVE-2023-49253 opisanym w tym samym artykule badawczym.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Hongdian H8951 4g Esp

    HW
    Hongdian
    wszystkie wersje
  • Hongdian H8951 4g Esp Firmware

    OS
    Hongdian
    < 2310271149
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2023-49253CRITICAL9.8PL ✓ten sam produkt

Hardkodowane hasło roota w urządzeniu Hongdian H8951-4G-Esp

CVE-2023-49262CRITICAL9.8PL ✓ten sam produkt

Pominięcie uwierzytelnienia przez przepełnienie pola Cookie w Hongdian H8951-4G-Esp

CVE-2023-49259HIGH7.5ten sam produkt

The authentication cookies are generated using an algorithm based on the username, hardcoded secret and the up...

CVE-2023-49257HIGH8.8ten sam produkt

An authenticated user is able to upload an arbitrary CGI-compatible file using the certificate upload utility ...

CVE-2023-49261HIGH7.5ten sam produkt

The "tokenKey" value used in user authorization is visible in the HTML source of the login page.