๐ ZTE ZXHN H108N R1A vor ZTE.bhs.ZXHNH108NR1A.k_PE cgi-bin/webproc getpage Directory Traversal
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 79974
Betroffen: ZTE ZXHN H108N R1A
Veröffentlicht: 30.12.2015
Risiko: kritisch
Erstellt: 02.01.2016
Aktualisiert: 03.01.2016
Eintrag: 66.8% komplett
Beschreibung
Es wurde eine kritische Schwachstelle in ZTE ZXHN H108N R1A entdeckt. Betroffen hiervon ist eine unbekannte Funktion der Datei cgi-bin/webproc. Durch Manipulation des Arguments getpage
mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle (File) ausgenutzt werden. Auswirkungen sind zu beobachten für Vertraulichkeit und Integrität. CVE fasst zusammen:
Absolute path traversal vulnerability in cgi-bin/webproc on ZTE ZXHN H108N R1A devices before ZTE.bhs.ZXHNH108NR1A.k_PE allows remote attackers to read arbitrary files via a full pathname in the getpage parameter.
Die Schwachstelle wurde am 30.12.2015 publik gemacht. Die Verwundbarkeit wird unter CVE-2015-7250 geführt. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version ZTE.bhs.ZXHNH108NR1A.k_PE vermag dieses Problem zu beheben.CVSS
Base Score: 4.9 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:N) [?]
Temp Score: 4.3 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
Exploiting
Klasse: Directory Traversal
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $2k-$5k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: ZXHN H108N R1A ZTE.bhs.ZXHNH108NR1A.k_PE
Timeline
30.12.2015 | Advisory veröffentlicht
02.01.2016 | VulDB Eintrag erstellt
03.01.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-7250 (mitre.org) (nvd.nist.org) (cvedetails.com)
...