Уязвимость D-Link D-View execMonitorScript, связанная с удаленным выполнением кода из-за использования опасного метода. Эта уязвимость позв…
Уязвимость D-Link D-View execMonitorScript, связанная с удаленным выполнением кода из-за использования опасного метода. Эта уязвимость позволяет удаленным злоумышленникам выполнять произвольный код на затронутых установках D-Link D-View. Хотя для эксплуатации этой уязвимости требуется аутентификация, существующий механизм аутентификации можно обойти. Конкретный недостаток заключается в методе execMonitorScript. Проблема возникает из-за использования опасного метода. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентификатор ZDI-CAN-21828.
Программный продукт предоставляет API или аналогичный интерфейс для взаимодействия с внешними субъектами, однако интерфейс включает опасный метод или функцию, которые не имеют надлежащих ограничений.
https://cwe.mitre.org/data/definitions/749.html →Открыть в коллекции CWE →Злоумышленник через ранее установленное вредоносное приложение внедряет код в контекст веб-страницы, отображаемой компонентом WebView. С помощью внедрённого кода злоумышленник способен манипулировать DOM-деревом и cookie-файлами страницы, раскрывать конфиденциальную информацию и запускать атаки на веб-приложение изнутри веб-страницы.
https://capec.mitre.org/data/definitions/500.html →Открыть в коллекции CAPEC →