bdu,nvd
Four-faith
Уязвимости
13
Эксплуатируемые
0
Критический
5
Высокий
5
Топ продуктов
Топ уязвимостей
CVE-2024-9644Маршрутизатор Four-Faith F3x36 с использованием прошивки v2.0.0 уязвим для уязвимости обхода аутентификации в административном веб-сервере. Аутентификация не применяется к некоторым административным функциям при использовании конечной точки "bapply.cgi" вместо обычной конечной точки "apply.cgi". Удаленный и неаутентифицированный пользователь может использовать эту уязвимость для изменения настроек или объединения с существующими уязвимостями, требующими аутентификации.
CVE-2024-9643Маршрутизатор Four-Faith F3x36 с использованием прошивки v2.0.0 уязвим для обхода аутентификации из-за жестко заданных учетных данных в административном веб-сервере. Злоумышленник, знающий учетные данные, может получить административный доступ через специально созданные HTTP-запросы. Эта проблема кажется похожей на CVE-2023-32645.
CVE-2023-3805В Xiamen Four Letter Video Surveillance Management System до 20230712 обнаружена уязвимость, классифицированная как критическая. Эта проблема затрагивает некоторую неизвестную обработку в библиотеке UserInfoAction.class компонента Login. Манипулирование приводит к ненадлежащей авторизации. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. Этому уязвимости был присвоен идентификатор VDB-235073. ПРИМЕЧАНИЕ: С поставщиком связались заранее по поводу этого раскрытия информации, но он никак не отреагировал.
BDU:2025-04730Уязвимость микропрограммного обеспечения маршрутизаторов Four-Faith F3x36 связана с использованием жестко закодированных учетных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации с помощью специально созданных HTTP-запросов
BDU:2025-01310Уязвимость веб-сервера микропрограммного обеспечения маршрутизаторов Four-Faith F3x36 связана с отсутствием проверки подлинности для критически важной функции. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, изменять конфигурацию устройства путем отправки специально сформированных HTTP-запросов
CVE-2023-6308В Xiamen Four-Faith Video Surveillance Management System 2016/2017 обнаружена уязвимость, которая была классифицирована как критическая. Эта проблема затрагивает неизвестную функцию компонента Apache Struts. Манипулирование приводит к неограниченной загрузке. Атака может быть начата удаленно. VDB-246134 - идентификатор, присвоенный этой уязвимости. ПРИМЕЧАНИЕ: С поставщиком связались заранее по поводу этого раскрытия, но он никак не отреагировал.
CVE-2024-12856Модели маршрутизаторов Four-Faith F3x24 и F3x36 подвержены уязвимости внедрения команд операционной системы (ОС). По крайней мере, версия прошивки 2.0 позволяет аутентифицированным и удаленным злоумышленникам выполнять произвольные команды ОС через HTTP при изменении системного времени через apply.cgi. Кроме того, эта версия прошивки имеет учетные данные по умолчанию, которые, если их не изменить, фактически превратят эту уязвимость в проблему неаутентифицированного и удаленного выполнения команд ОС.
CVE-2019-12168Устройства Four-Faith Wireless Mobile Router F3x24 v1.0 допускают удаленное выполнение кода через экран Command Shell (также известный как Administration > Commands).
BDU:2025-00701Уязвимость микропрограммного обеспечения маршрутизаторов Four-Faith F3x24 связана с отсутствием авторизации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
BDU:2025-00162Уязвимость микропрограммного обеспечения маршрутизаторов Four-Faith F3x24, Four-Faith F3x36 связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды
CVE-2025-11018В Four-Faith Water Conservancy Informatization Platform 1.0 обнаружена уязвимость. Затронута неизвестная функция файла /sysRole/index.do/../../generalReport/download.do;usrlogout.do.do. Манипуляция аргументом fileName приводит к path traversal. Атака может быть инициирована удаленно. Эксплойт находится в открытом доступе [1].
Источники:
- [1] https://vuldb.com/?id.325961
CVE-2025-10709В Four-Faith Water Conservancy Informatization Platform версии 1.0 обнаружена уязвимость, классифицированная как критическая. Уязвимость затрагивает неизвестную функциональность файла /history/historyDownload.do;otheruserLogin.do;getfile. Манипуляция аргументом fileName приводит к обходу директорий. Атака может быть проведена удаленно. Эксплойт публично доступен [1].
Уязвимость позволяет неаутентифицированным злоумышленникам читать произвольные файлы на сервере через сформированные запросы к эндпоинту historyDownload.do [2].
Источники:
- [1] https://vuldb.com/?id.324997
- [2] https://github.com/Cstarplus/CVE/issues/5
- [3] https://vuldb.com/?ctiid.324997
- [4] https://vuldb.com/?submit.644874
CVE-2025-10708В платформе Four-Faith Water Conservancy Informatization Platform 1.0 обнаружена уязвимость. Неизвестная функциональность файла /history/historyDownload.do;usrlogout.do затрагивается этой уязвимостью. Манипуляция аргументом fileName приводит к обходу пути. Атака может быть выполнена удаленно. Эксплойт был публично раскрыт и может быть использован. Поставщику было направлено уведомление, но ответа не последовало. [1]
Источники:
- [1] https://vuldb.com/?id.324996
- [2] https://vuldb.com/?ctiid.324996
- [3] https://vuldb.com/?submit.644871
- [4] https://github.com/Cstarplus/CVE/issues/4