CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2024-53944

Critical
Published: Translated: NVD NIST

Summary

W urządzeniach Tuoshi/Dionlink LT15D 4G Wi-Fi oraz LT21B odkryto podatność na wstrzykiwanie poleceń. Atakujący zdalny, nieautoryzowany użytkownik z dostępem do sieci może wykorzystać tę lukę, aby wykonać dowolne polecenia systemowe z uprawnieniami roota.

Risk Assessment

Podatność ta stwarza poważne zagrożenie dla bezpieczeństwa, umożliwiając atakującym pełną kontrolę nad urządzeniem. Może to prowadzić do kompromitacji danych oraz dalszych ataków na sieć organizacji.

Recommendation

Zaleca się aktualizację urządzeń do najnowszej wersji oprogramowania, która eliminuje tę podatność. Dodatkowo, należy ograniczyć dostęp do urządzeń tylko do zaufanych użytkowników i monitorować ruch sieciowy.

Original NVD description (English source)

An issue was discovered on Tuoshi/Dionlink LT15D 4G Wi-Fi devices through M7628NNxlSPv2xUI_v1.0.1802.10.08_P4 and LT21B devices through M7628xUSAxUIv2_v1.0.1481.15.02_P0. A unauthenticated remote attacker with network access can exploit a command injection vulnerability. The /goform/formJsonAjaxReq endpoint fails to sanitize shell metacharacters sent via JSON parameters, thus allowing attackers to execute arbitrary OS commands with root privileges.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS