irz ru21_firmware 跨站请求伪造（csrf）

admin

0
文章

0
评论

2023-11-30 08:35:49 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

irz ru21_firmware 跨站请求伪造（csrf）

CVE编号

CVE-2022-27226

利用情况

暂无

补丁情况

N/A

披露时间

2022-03-19

漏洞描述

A CSRF issue in /api/crontab on iRZ Mobile Routers through 2022-03-16 allows a threat actor to create a crontab entry in the router administration panel. The cronjob will consequently execute the entry on the threat actor's defined interval, leading to remote code execution, allowing the threat actor to gain filesystem access. In addition, if the router's default credentials aren't rotated or a threat actor discovers valid credentials, remote code execution can be achieved without user interaction.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://packetstormsecurity.com/files/166396/iRZ-Mobile-Router-Cross-Site-Requ...
https://en.irz.ru
https://github.com/SakuraSamuraii/ez-iRZ
https://johnjhacking.com/blog/cve-2022-27226/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	系统	irz	rl01_firmware	*		Up to (including) 2022-03-16
	运行在以下环境
	系统	irz	rl21_firmware	*		Up to (including) 2022-03-16
	运行在以下环境
	系统	irz	ru21w_firmware	*		Up to (including) 2022-03-16
	运行在以下环境
	系统	irz	ru21_firmware	*		Up to (including) 2022-03-16
	运行在以下环境
	系统	irz	ru41_firmware	*		Up to (including) 2022-03-16
	运行在以下环境
	硬件	irz	rl01	-	-
	运行在以下环境
	硬件	irz	rl21	-	-
	运行在以下环境
	硬件	irz	ru21	-	-
	运行在以下环境
	硬件	irz	ru21w	-	-
	运行在以下环境
	硬件	irz	ru41	-	-