CVE-2024-50357
KrytyczneStreszczenie
Routery serii FutureNet NXR dostarczane przez firmę Century Systems Co., Ltd. mają interfejsy REST-API, które są domyślnie wyłączone w konfiguracji fabrycznej. Jednakże, po włączeniu urządzenia, interfejsy REST-API są niespodziewanie włączane, jeśli aktywowany jest serwer http (GUI) lub uwierzytelnianie sieciowe.
Ocena ryzyka
W wyniku tej podatności, atakujący może uzyskać dostęp do ustawień urządzenia i je zmieniać, co stwarza poważne zagrożenie dla bezpieczeństwa sieci organizacji.
Rekomendacja
Zaleca się dezaktywację serwera http (GUI) oraz uwierzytelniania sieciowego, aby zapobiec nieautoryzowanemu dostępowi do interfejsów REST-API.
Oryginalny opis (angielski, źródło NVD)
FutureNet NXR series routers provided by Century Systems Co., Ltd. have REST-APIs, which are configured as disabled in the initial (factory default) configuration. But, REST-APIs are unexpectedly enabled when the affected product is powered up, provided either http-server (GUI) or Web authentication is enabled. The factory default configuration makes http-server (GUI) enabled, which means REST-APIs are also enabled. The username and the password for REST-APIs are configured in the factory default configuration. As a result, an attacker may obtain and/or alter the affected product's settings via REST-APIs.

