Vulnerabilidad en un panel de administración web disponible mediante https en los campos username y password del indicador de inicio de sesión en Barco TransForm NDN-210 Lite, NDN-210 Pro, NDN-211 Lite y NDN-211 Pro (CVE-2020-17500)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
07/01/2021
Última modificación:
13/01/2021
Descripción
Barco TransForm NDN-210 Lite, NDN-210 Pro, NDN-211 Lite y NDN-211 Pro versiones anteriores a 3.8, permiten una Inyección de Comandos (problema 1 de 4). El NDN-210, presenta un panel de administración web que está disponible por medio de https. El método de inicio de sesión es la autenticación básica. Se presenta un problema de inyección de comando que resultará en una ejecución de código remoto no autenticado en los campos username y password del indicador de inicio de sesión. El NDN-210 es parte de la solución Barco TransForm N e incluye el parche de TransForm N versión 3.8 en adelante
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:barco:transform_n:*:*:*:*:*:*:*:* | 3.8 (excluyendo) | |
| cpe:2.3:h:barco:transform_ndn-210_lite:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:barco:transform_ndn-210_pro:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:barco:transform_ndn-211_lite:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:barco:transform_ndn-211_pro:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página