Inicio / Alerta Temprana / Vulnerabilidades / CVE-2021-27561

Vulnerabilidad en Yealink Device Management (CVE-2021-27561)

Tipo: 
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Gravedad: 
Alta
Fecha publicación : 
15/10/2021
Última modificación: 
21/10/2021
Descripción
Yealink Device Management (DM) 3.6.0.20 permite la inyección de comandos como root por medio del URI /sm/api/v1/firewall/zone/services, sin autenticación.
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Baja
Autenticación: No requerida para explotarla
Tipo de impacto: Compromiso total de la integridad del sistema + Compromiso total de la confidencialidad del sistema + Compromiso total de la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:yealink:device_management:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Referencias a soluciones, herramientas e información
Explicación de los campos