Низкопривилегированный удаленный злоумышленник может использовать метод ubr-editfile в wwwubr.cgi, недокументированной и неиспользуемой кон…
Низкопривилегированный удаленный злоумышленник может использовать метод ubr-editfile в wwwubr.cgi, недокументированной и неиспользуемой конечной точке API для записи произвольных файлов в системе.
Устройство включает «chicken bits» или недокументированные функции, которые могут создавать точки входа для неавторизованных субъектов.
https://cwe.mitre.org/data/definitions/1242.html →Открыть в коллекции CWE →Злоумышленник ищет и вызывает интерфейсы или функциональность, которые разработчики целевой системы не предназначали для публичного доступа. Если интерфейсы не выполняют аутентификацию запросов, злоумышленник может вызывать функциональность, к которой он не авторизован.
https://capec.mitre.org/data/definitions/36.html →Открыть в коллекции CAPEC →Злоумышленник использует легитимные возможности приложения таким образом, что это оказывает негативное техническое воздействие. Функциональность системы не изменяется и не модифицируется, но применяется способом, не предусмотренным изначально. Нередко это достигается посредством чрезмерного использования определённой функциональности или эксплуатации функциональности с конструктивными недостатками, позволяющими злоумышленнику получать доступ к несанкционированным конфиденциальным данным.
https://capec.mitre.org/data/definitions/212.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| universal_bacnet_router_firmware | * | Отслеживается |