CVE-2024-54750
KrytyczneStreszczenie
W urządzeniu Ubiquiti U6-LR w wersji 6.6.65 odkryto podatność na twardo zakodowane hasło w pliku /etc/shadow, co umożliwia atakującym logowanie się jako root. Ubiquiti twierdzi, że nie ma podatności, ponieważ hasło powinno być ustawione po konfiguracji, a nie przed nią.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla bezpieczeństwa systemu, umożliwiając nieautoryzowany dostęp do konta root. Może to prowadzić do pełnej kontroli nad urządzeniem i potencjalnych dalszych ataków na sieć.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie urządzenia do najnowszej wersji oprogramowania, aby usunąć tę podatność. Dodatkowo, należy przeprowadzić audyt zabezpieczeń, aby upewnić się, że nie doszło do nieautoryzowanego dostępu.
Oryginalny opis (angielski, źródło NVD)
Ubiquiti U6-LR 6.6.65 was discovered to contain a hardcoded password vulnerability in /etc/shadow, which allows attackers to log in as root. NOTE: In Ubiquiti's view there is no vulnerability as the Hardcoded Password should be after setup not before.

