CWE-830:包含來自不受信任來源的 Web 功能
Teltonika 4.10.0 之前的遠端管理系統版本具有一項功能,允許使用者透過雲端代理存取受管理裝置的本機安全殼層 (SSH)/網路管理服務。 使用者可以請求 Web 代理並在遠端管理系統雲端子網域中取得 URL。 此 URL 可以與他人共用,無需遠端管理系統驗證 。 攻擊者可能會利用此弱點建立使用受信任和認證網域的惡意網頁。 當受害者連線到惡意網頁時,攻擊者可能會啟動反向 shell,以便在受害者裝置上實現遠端程式碼執行。
Team82 致力於以協調、及時的方式私下向受影響的供應商報告漏洞,以確保全球網路安全生態系統的安全。 為與供應商和研究社群互動, Team82 邀請您下載並分享我們的協調披露政策。 Team82 當我們發現產品和服務中的漏洞時,將遵守此報告和披露流程。
