یک آسیب پذیری با شناسه CVE-2024-3721 و شدت متوسط (6.3) در TBK DVR-4104 و DVR-4216 کشف شده است. این نقص به دلیل عدم تنظیم درست مولفهها در فایل "/device.rsp?opt=sys&cmd=___S_O_S_T_R_E_A_MAX___" رخ داده است و یک مهاجم با دستکاری آرگومان mdb/mdc میتواند حمله تزریق دستور سیستمعامل (os command injection) را پیادهسازی کند.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L بهرهبرداری از آن از طریق شبکه خارجی و از راه دور امکانپذیر است (AV:N) و نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست(AC:L)، برای انجام حمله به حساب کاربری با سطح دسترسی پایین نیاز است (PR: L) و به تعامل کاربر نیاز ندارد (UL:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S: U) و هر سه ضلع امنیت با شدت کمی تحت تأثیر قرار میگیرند (C:L/I:L/A:L).
محصولات تحت تأثیر
این آسیبپذیری نسخههای قبل از 20240412 را تحت تأثیر قرار میدهد.
توصیههای امنیتی
توصیه میشود کاربران نسخه مورد استفاده خود را در اسرع وقت به نسخه 20240412 بهروزرسانی کنند.
منبع خبر:
- 37