Katalog CVE

CVE-2024-50357

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Routery serii FutureNet NXR dostarczane przez firmę Century Systems Co., Ltd. mają interfejsy REST-API, które są domyślnie wyłączone w konfiguracji fabrycznej. Jednakże, po włączeniu urządzenia, interfejsy REST-API są niespodziewanie włączane, jeśli aktywowany jest serwer http (GUI) lub uwierzytelnianie sieciowe.

Ocena ryzyka

W wyniku tej podatności, atakujący może uzyskać dostęp do ustawień urządzenia i je zmieniać, co stwarza poważne zagrożenie dla bezpieczeństwa sieci organizacji.

Rekomendacja

Zaleca się dezaktywację serwera http (GUI) oraz uwierzytelniania sieciowego, aby zapobiec nieautoryzowanemu dostępowi do interfejsów REST-API.

Oryginalny opis (angielski, źródło NVD)

FutureNet NXR series routers provided by Century Systems Co., Ltd. have REST-APIs, which are configured as disabled in the initial (factory default) configuration. But, REST-APIs are unexpectedly enabled when the affected product is powered up, provided either http-server (GUI) or Web authentication is enabled. The factory default configuration makes http-server (GUI) enabled, which means REST-APIs are also enabled. The username and the password for REST-APIs are configured in the factory default configuration. As a result, an attacker may obtain and/or alter the affected product's settings via REST-APIs.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS