W urządzeniu LB-LINK BL-X26 wersja 1.2.8 wykryto lukę bezpieczeństwa wpływającą na nieznana funkcję pliku /goform/set_blacklist w komponencie HTTP Handler. Manipulacja parametrem mac prowadzi do os command injection, którą można wykonać zdalnie. Exploity zostały już ujawnione publicznie, a dostawca nie odpowiedział na zawiadomienie o podatności.
▸ Pokaż oryginał (EN)
A security vulnerability has been detected in LB-LINK BL-X26 1.2.8. This affects an unknown function of the file /goform/set_blacklist of the component HTTP Handler. Such manipulation of the argument mac leads to os command injection. The attack can be launched remotely. The exploit has been disclosed publicly and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XLb Link Bl X26
HWLb-Linkwszystkie wersjeLb Link Bl X26 Firmware
OSLb-Link1.2.8
Powiązane podatności
LB-LINK BL-AC1900_2.0 v1.0.1, LB-LINK BL-WR9000 v2.4.9, LB-LINK BL-X26 v1.2.5, and LB-LINK BL-LTE300 v1.0.8 we...
RCE w LB-Link BL-AC2100 — nieprawidłowa obsługa parametru enable
RCE w LB-Link BL-AC2100 przez parametry set_LimitClient_cfg
Zakodowane na stałe dane uwierzytelniające w routerze LB-LINK BL-WR1300H
LB-LINK BL-W1210M — przechowywanie danych uwierzytelniających w postaci jawnej