Vulnerabilidad en Datagate MK2, Storm 24, Pixelator y E-Streamer MK2 (CVE-2019-12775)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-269
Gestión de privilegios incorrecta
Fecha de publicación:
07/06/2019
Última modificación:
24/08/2020
Descripción
Fue encontrado un problema en los dispositivos Datagate MK2, Storm 24, Pixelator y E-Streamer MK2 con el firmware versión 70044_update_05032019-482 de ENTTEC. Ellos permiten acceso root con privilegios elevados por www-data mediante sudo sin requerir de un control de acceso apropiado. (Además, la cuenta de usuario que controla el servicio de aplicación web concede acceso completo para ejecutar cualquier comando del sistema con privilegios elevados, sin la necesidad de autenticación de contraseña. En el supuesto de que las vulnerabilidades se identifiquen y exploten en la aplicación web, puede ser posible que un atacante cree o ejecute archivos binarios o ejecutables con privilegios elevados que estén disponibles en el sistema operativo del dispositivo.)
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:enttec:datagate_mk2_firmware:70044:05032019-482:*:*:*:*:*:* | ||
| cpe:2.3:h:enttec:datagate_mk2:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:enttec:storm_24_firmware:70044:05032019-482:*:*:*:*:*:* | ||
| cpe:2.3:h:enttec:storm_24:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:enttec:pixelator_firmware:70044:05032019-482:*:*:*:*:*:* | ||
| cpe:2.3:h:enttec:pixelator:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:enttec:e-streamer_mk2_firmware:70044:05032019-482:*:*:*:*:*:* | ||
| cpe:2.3:h:enttec:e-streamer_mk2:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página