La primera vulnerabilidad se detecta en un CGI que no filtra adecuadamente las entradas, lo que permite inyectar comandos a nivel de sistema. La prueba de concepto publicada demuestra cómo es posible, gracias a esta vulnerabilidad, extraer el archivo etc/passwd.
La segunda vulnerabilidad permite escalar directorios a través del servicio Web mediante la cadena “../”, y subir archivos en cualquier localización del sistema. En esta ocasión, la prueba de concepto consiste en crear una nueva cuenta de administrador, con privilegios totales sobre el sistema.
Según el aviso original, los dispositivos donde se han comprobado las vulnerabilidades, sin excluir la posibilidad de que otros modelos se encuentren afectados, son:
Axis 2100/2110/2120/2420 Network Camera 2.12-2.40 AxisS 2130 PTZ Network Camera
Axis 2400/2401 Video Server
La prueba de concepto ha sido publicada tras, según el aviso original, no obtener respuesta del departamento de seguridad de Axis. A la espera de parches y/o actualizaciones oficiales, la solución de momento pasa por limitar el acceso al servicio Web de los dispositivos.
Además de fakes news, en internet encontramos múltiples formas de desinformación: clonación de medios de…
Sin las medidas de protección necesarias, un almacén puede convertirse en el eslabón más débil…
Adyen publica los resultados de su estudio "Estrategias para reducir el coste total de pagos",…
Del porcentaje global del 21 % se baja a un 18 % en el caso…
Entrevistamos a John Shier, CTO Field de Sophos, que hace repaso de las principales amenazas…
Desde fibratel comparten una serie de pautas para orientar la construcción de centros de datos…