CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2019-25249

Critical
Published: Translated: NVD NIST

Summary

Podatność CVE-2019-25249 dotyczy urządzenia devolo dLAN 500 AV Wireless+ w wersji 3.1.0-1, które zawiera lukę umożliwiającą obejście uwierzytelniania. Atakujący mogą włączyć ukryte usługi za pomocą skryptu htmlmgr CGI, co pozwala na uzyskanie dostępu do urządzenia bez hasła.

Risk Assessment

Luka ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne zarządzanie urządzeniem, w tym włączenie usług telnet i powłoki zdalnej, co może prowadzić do pełnej kontroli nad systemem.

Recommendation

Zaleca się natychmiastowe zaktualizowanie urządzenia do najnowszej wersji oprogramowania, aby usunąć tę lukę oraz wdrożenie dodatkowych środków zabezpieczających, takich jak zmiana domyślnych ustawień i monitorowanie dostępu do urządzenia.

Original NVD description (English source)

devolo dLAN 500 AV Wireless+ 3.1.0-1 contains an authentication bypass vulnerability that allows attackers to enable hidden services through the htmlmgr CGI script. Attackers can enable telnet and remote shell services, reboot the device, and gain root access without a password by manipulating system configuration parameters.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS