Katalog CVE

CVE-2026-2330

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Atakujący może uzyskać dostęp do zastrzeżonych obszarów systemu plików na urządzeniu za pośrednictwem interfejsu CROWN REST z powodu niekompletnego egzekwowania białej listy. Niektóre katalogi przeznaczone do testów wewnętrznych nie były objęte białą listą i są dostępne bez uwierzytelnienia.

Ocena ryzyka

Nieautoryzowany atakujący może umieścić zmanipulowany plik parametrów, który stanie się aktywny po ponownym uruchomieniu, co pozwala na modyfikację krytycznych ustawień urządzenia, w tym konfiguracji sieci i parametrów aplikacji.

Rekomendacja

Zaleca się wprowadzenie pełnego egzekwowania białej listy dla wszystkich katalogów oraz monitorowanie dostępu do interfejsu CROWN REST, aby zapobiec nieautoryzowanym modyfikacjom.

Oryginalny opis (angielski, źródło NVD)

An attacker may access restricted filesystem areas on the device via the CROWN REST interface due to incomplete whitelist enforcement. Certain directories intended for internal testing were not covered by the whitelist and are accessible without authentication. An unauthenticated attacker could place a manipulated parameter file that becomes active after a reboot, allowing modification of critical device settings, including network configuration and application parameters.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS