📚 Crestron AirMedia AM-100 bis 1.4.0.12 cgi-bin/login.cgi src Directory Traversal
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: vuldb.com
In Crestron AirMedia AM-100 bis 1.4.0.12 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Hierbei betrifft es eine unbekannte Funktion der Datei cgi-bin/login.cgi. Dank der Manipulation des Arguments src
mit der Eingabe ..
kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Dies hat Einfluss auf die Vertraulichkeit.
Die Schwachstelle wurde am 03.08.2016 öffentlich gemacht. Die Verwundbarkeit wird als CVE-2016-5639 geführt. Der Angriff kann über das Netzwerk angegangen werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht.
Ein Aktualisieren auf die Version 1.4.0.13 vermag dieses Problem zu lösen.
Mit dieser Schwachstelle verwandte Einträge finden sich unter 90410.
CVSSv3
Base Score: ≈4.3 [?]Temp Score: ≈4.1 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N/E:X/RL:O/RC:X [?]
Zuverlässigkeit: Medium
CVSSv2
Base Score: ≈3.5 (CVSS2#AV:N/AC:M/Au:S/C:P/I:N/A:N) [?]Temp Score: ≈3.0 (CVSS2#E:ND/RL:OF/RC:ND) [?]
Zuverlässigkeit: Medium
CPE
- cpe:/a:crestron:airmedia_am-100:1.4.0.0
- cpe:/a:crestron:airmedia_am-100:1.4.0.1
- cpe:/a:crestron:airmedia_am-100:1.4.0.2
- cpe:/a:crestron:airmedia_am-100:1.4.0.3
- cpe:/a:crestron:airmedia_am-100:1.4.0.4
- cpe:/a:crestron:airmedia_am-100:1.4.0.5
- cpe:/a:crestron:airmedia_am-100:1.4.0.6
- cpe:/a:crestron:airmedia_am-100:1.4.0.7
- cpe:/a:crestron:airmedia_am-100:1.4.0.8
- cpe:/a:crestron:airmedia_am-100:1.4.0.9
- cpe:/a:crestron:airmedia_am-100:1.4.0.10
- cpe:/a:crestron:airmedia_am-100:1.4.0.11
- cpe:/a:crestron:airmedia_am-100:1.4.0.12
Exploiting
Klasse: Directory TraversalLokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $0-$1k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: UpgradeStatus: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: AirMedia AM-100 1.4.0.13
Timeline
03.08.2016 Advisory veröffentlicht03.08.2016 VulDB Eintrag erstellt
03.08.2016 VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-5639 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 90410
Eintrag
Erstellt: 03.08.2016Eintrag: 71.7% komplett
...