CVE-2021-47728
KrytyczneStreszczenie
Kamera Selea Targa IP OCR-ANPR zawiera podatność na nieautoryzowaną iniekcję poleceń w pliku utils.php, co pozwala zdalnym atakującym na wykonywanie dowolnych poleceń powłoki. Atakujący mogą wykorzystać parametry 'addr' i 'port' do wstrzykiwania poleceń oraz uzyskania dostępu do użytkownika www-data poprzez techniki łańcuchowej lokalnej inkluzji plików.
Ocena ryzyka
Podatność ta stwarza poważne zagrożenie dla bezpieczeństwa, umożliwiając atakującym zdalne wykonywanie poleceń na serwerze, co może prowadzić do przejęcia kontroli nad systemem. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do krytycznych zasobów.
Rekomendacja
Zaleca się aktualizację oprogramowania kamery do najnowszej wersji, która usuwa tę podatność. Dodatkowo, warto ograniczyć dostęp do interfejsu kamery oraz monitorować logi w celu wykrycia potencjalnych prób ataków.
Oryginalny opis (angielski, źródło NVD)
Selea Targa IP OCR-ANPR Camera contains an unauthenticated command injection vulnerability in utils.php that allows remote attackers to execute arbitrary shell commands. Attackers can exploit the 'addr' and 'port' parameters to inject commands and gain www-data user access through chained local file inclusion techniques.

