W MiniDVBLinux w wersji 5.4 i wcześniejszych istnieje podatność typu command injection w interfejsie zarządzania przez przeglądarkę. Zdalny, nieuwierzytelniony atakujący może wykonać dowolne polecenia systemowe z uprawnieniami użytkownika root, co oznacza pełne przejęcie kontroli nad urządzeniem.
▸ Pokaż oryginał (EN)
An OS command injection vulnerability exists in MiniDVBLinux version 5.4 and earlier. The system’s web-based management interface fails to properly sanitize user-supplied input before passing it to operating system commands. A remote unauthenticated attacker can exploit this vulnerability to execute arbitrary commands as the root user, potentially compromising the entire device. Exploitation evidence was observed by the Shadowserver Foundation on 2024-04-10 UTC.
Interfejs webowy systemu MiniDVBLinux nie przeprowadza właściwej walidacji ani sanityzacji danych dostarczanych przez użytkownika przed przekazaniem ich do poleceń systemu operacyjnego. Atakujący może wstrzyknąć złośliwe polecenia poprzez odpowiednio spreparowane żądanie HTTP, które zostaną wykonane przez system bez żadnego mechanizmu uwierzytelnienia. Podatność sklasyfikowana jest jako CWE-78 (OS Command Injection) i nie wymaga żadnych uprawnień ani interakcji po stronie ofiary. Fundacja Shadowserver odnotowała dowody aktywnego wykorzystania tej podatności w środowiskach produkcyjnych.
Atakujący uzyskuje możliwość wykonania dowolnych poleceń z uprawnieniami roota, co prowadzi do pełnego przejęcia kontroli nad urządzeniem — w tym do odczytu i modyfikacji danych, instalacji złośliwego oprogramowania oraz dalszego lateral movement w sieci.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Ze względu na brak mechanizmu uwierzytelnienia jako warstwy ochronnej, urządzenia podatne nie powinny być dostępne bezpośrednio z Internetu — należy je izolować za firewallem lub segmentować sieciowo do czasu wdrożenia aktualizacji.
MiniDVBLinux w wersji 5.4 i wcześniejszych
Mimo że pole CISA KEV wskazuje brak wpisu, fundacja Shadowserver zarejestrowała dowody aktywnego eksploatowania tej podatności w dniu 2024-04-10 UTC. Dostępne są publiczne exploity (Exploit-DB #51096, Packet Storm Security), co znacząco podnosi ryzyko. Administratorzy powinni traktować tę podatność priorytetowo pomimo braku formalnego wpisu KEV.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XMinidvblinux
APPMinidvblinux≤ 5.4
Powiązane podatności
MiniDVBLinux 5.4 — zdalny RCE jako root przez command injection
MiniDVBLinux 5.4 — Authentication Bypass umożliwiający zmianę hasła root
MiniDVBLinux 5.4 contains an unauthenticated configuration download vulnerability that allows remote attackers...
MiniDVBLinux 5.4 contains an arbitrary file disclosure vulnerability that allows attackers to read sensitive s...
MiniDVBLinux 5.4 contains an unauthenticated vulnerability in the tv_action.sh script that allows remote attac...