CVE-2026-2330
CriticalSummary
Atakujący może uzyskać dostęp do zastrzeżonych obszarów systemu plików na urządzeniu za pośrednictwem interfejsu CROWN REST z powodu niekompletnego egzekwowania białej listy. Niektóre katalogi przeznaczone do testów wewnętrznych nie były objęte białą listą i są dostępne bez uwierzytelnienia.
Risk Assessment
Nieautoryzowany atakujący może umieścić zmanipulowany plik parametrów, który stanie się aktywny po ponownym uruchomieniu, co pozwala na modyfikację krytycznych ustawień urządzenia, w tym konfiguracji sieci i parametrów aplikacji.
Recommendation
Zaleca się wprowadzenie pełnego egzekwowania białej listy dla wszystkich katalogów oraz monitorowanie dostępu do interfejsu CROWN REST, aby zapobiec nieautoryzowanym modyfikacjom.
Original NVD description (English source)
An attacker may access restricted filesystem areas on the device via the CROWN REST interface due to incomplete whitelist enforcement. Certain directories intended for internal testing were not covered by the whitelist and are accessible without authentication. An unauthenticated attacker could place a manipulated parameter file that becomes active after a reboot, allowing modification of critical device settings, including network configuration and application parameters.

