Опубликованы подробности об опасных уязвимостях в Advantech R-SeeNet

Специалисты исследовательской команды Cisco Talos обнародовали информацию о ряде серьезных уязвимостей в приложении R-SeeNet для мониторинга маршрутизаторов производства тайваньской компании Advantech.

В общей сложности специалисты обнаружили семь проблем , позволяющих выполнить произвольный JavaScript код в контексте браузера жертвы (CVE-2021-21799, CVE-2021-21800, CVE-2021-21801 - CVE-2021-21803), выполнить команды путем отправки вредоносного HTTP запроса на целевое устройство (CVE-2021-21805), а также выполнить произвольные PHP команды (CVE-2021-21804). Большая часть данных уязвимостей может быть проэксплуатирована даже в том случае, если владелец не авторизовался на устройстве.

Проблемы затрагивают версию R-SeeNet 2.4.12 (выпущена в ктябре 202 года). Команда Cisco Talos проинформировала производителя об уязвимостях в марте нынешнего года, однако производитель так и не выпустил обновления безопасности, устраняющие проблемы. В итоге по прошествии 90 дней специалисты решили обнародовать подробности об уязвимостях в соответствии со своей политикой раскрытия уязвимостей.