CWE-15: Controle externo do sistema ou configuração
As versões 00.07.00 a 00.07.03.4 do firmware do roteador RUT da Teltonika contêm um utilitário de despejo de pacotes que contém validação adequada para parâmetros de filtro. No entanto, as variáveis para verificações de validação são armazenadas em um arquivo de configuração externo. Um invasor autenticado poderia usar um utilitário de configuração de UCI exposto para alterar essas variáveis e habilitar parâmetros maliciosos no utilitário de despejo, o que poderia resultar na execução arbitrária do código.
Leia mais: "Triple Threat: Breaking Teltonika Routers Three Ways"
CVE-2023-32349
Redes Teltonika
RUT Teltonika
8.0
A Team82 tem o compromisso de relatar, de forma privada, vulnerabilidades aos fornecedores afetados de maneira coordenada e oportuna, a fim de garantir a segurança do ecossistema de cibersegurança em todo o mundo. Para se envolver com o fornecedor e a comunidade de pesquisa, a Team82 convida você a baixar e compartilhar nossa Política de divulgação coordenada. A Team82 aderirá a esse processo de divulgação e relatório quando descobrirmos vulnerabilidades em produtos e serviços.
A Team82 também disponibilizou sua chave PGP pública para que o fornecedor e a comunidade de pesquisa troquem informações de vulnerabilidade e pesquisa conosco com segurança.
