CVE-2022-23765

ALT: (8.8)

CVSS3: 7.7

La família NAS d’ipTIME és vulnerable a la falsificació de sol·licituds en llocs creuats, causada per una validació inadequada de l’entrada subministrada per l’usuari. En persuadir a un usuari autenticat perquè visiti un lloc web maliciós, un atacant remot podria enviar una sol·licitud HTTP mal formada per a canviar la contrasenya de l’arrel. Un atacant podria explotar aquesta vulnerabilitat per a realitzar atacs de scripting entre llocs, infecció de la cache de la web i altres activitats malicioses.

Sistemes Afectats

• ipTIME NAS 1.4

Remediació
Actualitzi a l’última versió d’ipTIME NAS (1.4.86 o posterior), disponible en el lloc web d’ipTIME.

Referències

• https://www.krcert.or.kr/krcert/secNoticeView.do?bulletin_writing_sequence=66877
• https://iptime.com/iptime/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23765