Podatność CVE-2018-16221


Publikacja: 2019-05-29

Opis:
The diagnostics web interface in the Yeahlink Ultra-elegant IP Phone SIP-T41P (firmware 66.83.0.35) does not validate (escape) the path information (path traversal), which allows an authenticated remote attacker to get access to privileged information (e.g., /etc/passwd) via path traversal (relative path information in the file parameter of the corresponding POST request).

Typ:

CWE-22

(Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal'))

CVSS2 => (AV:A/AC:L/Au:S/C:C/I:C/A:C)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
7.7/10
10/10
5.1/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Sieć lokalna
Niska
Jednorazowa
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Pełny
Pełny
Pełny
Affected software
Yealink -> Ultra-elegant ip phone sip-t41p firmware 

 Referencje:
https://www.sit.fraunhofer.de/de/securitytestlab/
https://www.sit.fraunhofer.de/fileadmin/dokumente/CVE/Advisory_Yealink_Ultra-elegantIPPhone_SIPT41P.pdf?_=1549375271

Copyright 2024, cxsecurity.com

 

Back to Top