加勒特穿越金属探测器可以被远程入侵
相关标签: # 数据# 监控# 设备# 安全漏洞# 缺陷
加勒特金属探测器的一个网络组件中发现了许多安全漏洞,远程攻击者可以绕过身份验证要求,篡改金属探测器配置,甚至在设备上执行任意代码
“攻击者可以操纵此模块远程监控金属探测器上的统计数据,例如是否触发了警报或有多少访客通过了,”思科·塔洛斯在上周公布的一份披露中指出。“他们还可以进行配置更改,例如改变设备的灵敏度水平,这可能会给依赖这些金属探测器的用户带来安全风险。”
2021年8月17日,Matt Wiseman发现并报告了这些漏洞。2021年12月13日,供应商已经发布了修补程序。
缺陷存在于加勒特iC模块中,该模块使用户可以通过有线或无线网络,通过计算机与加勒特PD 6500i或加勒特MZ 6100等金属探测器进行通信。它允许客户从远程位置实时控制和监控设备
安全漏洞列表如下–
CVE-2021-21901(CVSS分数:9.8)、CVE-2021-21903(CVSS分数:9.8)、CVE-2021-21905和CVE-2021-21906(CVSS分数:8.2)——基于堆栈的缓冲区溢出漏洞,可通过向设备发送恶意数据包触发
- CVE-2021-21902(CVSS分数:7.5)-一个身份验证绕过漏洞,源于可通过发送一系列请求触发的竞争条件
- CVE-2021-21904(CVSS分数:9.1)、CVE-2021-21907(CVSS分数:4.9)、CVE-2021-21908和CVE-2021-21909(CVSS分数:6.5)——目录遍历漏洞,可通过发送精心编制的命令加以利用
成功利用iC Module CMA 5.0版中的上述缺陷可能会让攻击者劫持经过身份验证的用户的会话,读取、写入或删除设备上的任意文件,甚至导致远程代码执行
鉴于安全漏洞的严重性,强烈建议用户尽快更新至最新版本的固件
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
