CWE-79: Neutralização inadequada de entrada durante a geração de página da web (scripting entre sites)
As versões do Sistema de Gerenciamento Remoto da Teltonika anteriores ao 4.10.0 contêm uma vulnerabilidade de script entre sites (XSS) na página principal da interface da web. Um invasor com o endereço MAC e o número de série de um dispositivo conectado pode enviar um arquivo JSON criado maliciosamente com um objeto HTML para acionar a vulnerabilidade. Isso pode permitir que o invasor execute scripts no contexto da conta e obtenha a execução remota do código em dispositivos gerenciados.
Leia mais: "Triple Threat: Breaking Teltonika Routers Three Ways"
CVE-2023-2587
Redes Teltonika
Sistema de gerenciamento remoto Teltonika
7.5
A Team82 tem o compromisso de relatar, de forma privada, vulnerabilidades aos fornecedores afetados de maneira coordenada e oportuna, a fim de garantir a segurança do ecossistema de cibersegurança em todo o mundo. Para se envolver com o fornecedor e a comunidade de pesquisa, a Team82 convida você a baixar e compartilhar nossa Política de divulgação coordenada. A Team82 aderirá a esse processo de divulgação e relatório quando descobrirmos vulnerabilidades em produtos e serviços.
A Team82 também disponibilizou sua chave PGP pública para que o fornecedor e a comunidade de pesquisa troquem informações de vulnerabilidade e pesquisa conosco com segurança.
