Vulnerabilidad en el envío de una carga útil al puerto 5001 en un sistema de administración de conferencias de ZTE (CVE-2021-21741)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
30/08/2021
Última modificación:
05/06/2023
Descripción
Un sistema de administración de conferencias de ZTE, está afectado por una vulnerabilidad de ejecución de comandos. Dado que el servicio de objetos java de soapmonitor está habilitado por defecto, el atacante podría aprovechar esta vulnerabilidad para ejecutar comandos arbitrario mediante el envío de una carga útil deserializada al puerto 5001.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:zte:zxv10_m910_firmware:1.2.16.01u01.01:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zte:zxv10_m910_firmware:1.2.19.01u01.01:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zte:zxv10_m910_firmware:1.2.20.01u01.01:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zte:zxv10_m910_firmware:1.2.21.01.04:p01:*:*:*:*:*:* | ||
| cpe:2.3:h:zte:zxv10_m910:*:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página