CVE-2026-2330
KrytyczneStreszczenie
Atakujący może uzyskać dostęp do zastrzeżonych obszarów systemu plików na urządzeniu za pośrednictwem interfejsu CROWN REST z powodu niekompletnego egzekwowania białej listy. Niektóre katalogi przeznaczone do testów wewnętrznych nie były objęte białą listą i są dostępne bez uwierzytelnienia.
Ocena ryzyka
Nieautoryzowany atakujący może umieścić zmanipulowany plik parametrów, który stanie się aktywny po ponownym uruchomieniu, co pozwala na modyfikację krytycznych ustawień urządzenia, w tym konfiguracji sieci i parametrów aplikacji.
Rekomendacja
Zaleca się wprowadzenie pełnego egzekwowania białej listy dla wszystkich katalogów oraz monitorowanie dostępu do interfejsu CROWN REST, aby zapobiec nieautoryzowanym modyfikacjom.
Oryginalny opis (angielski, źródło NVD)
An attacker may access restricted filesystem areas on the device via the CROWN REST interface due to incomplete whitelist enforcement. Certain directories intended for internal testing were not covered by the whitelist and are accessible without authentication. An unauthenticated attacker could place a manipulated parameter file that becomes active after a reboot, allowing modification of critical device settings, including network configuration and application parameters.

