CVE-2022-35555 - это критическая уязвимость командной инъекции, обнаруженная в беспроводной точке доступа Tenda W6 V1.0.0.9(4122). Эта уязвимость существует в конечной точке /goform/exeCommand, где злоумышленники могут использовать параметр cmdinput для выполнения произвольных команд на устройстве. Уязвимость позволяет удаленным злоумышленникам получить контроль над устройством, что потенциально может привести к несанкционированному доступу, утечке данных или дальнейшему компрометации сети.
Уязвимость была сообщена несколькими источниками, включая Национальную базу данных уязвимостей (NVD), MITRE, Tenable, GitHub, OpenCVE, VulDB, Cloud Defense и FortiGuard Labs. Несмотря на свою критическую природу, SUSE CVE-2022-35555 была отмечена как "ОТКЛОНЕНА" ее CNA, что указывает на то, что она не была признана проблемой безопасности. Однако другие источники подтвердили ее существование и потенциальное воздействие.
Злоумышленники могут использовать эту уязвимость, отправляя специально сформированные HTTP-запросы на уязвимую конечную точку. Эксплуатация не требует аутентификации, что облегчает злоумышленникам нацеливание на открытые устройства. После эксплуатации злоумышленники могут выполнять произвольные команды с теми же привилегиями, что и веб-сервер, что может привести к полной компрометации системы.
Критичность этой уязвимости высока из-за легкости эксплуатации и потенциального воздействия на затронутые системы. Администраторам сетей и специалистам по безопасности следует в первую очередь устранить эту уязвимость, чтобы предотвратить возможные атаки.
|