CWE-918:伺服器端請求偽造
Teltonika 4.10.0 之前的遠端管理系統版本包含虛擬私人網路 (VPN) 集線器功能,用於使用 OpenVPN 的跨裝置通訊。 它以允許新裝置與連接到 VPN 的所有 Teltonika 裝置通訊的方式連接新裝置。 OpenVPN 伺服器也允許使用者透過它進行路由。 攻擊者可以透過 OpenVPN 伺服器將連線路由至遠端伺服器,使他們能夠從連接到 VPN 的其他 Teltonika 裝置掃描和存取資料。
Team82 致力於以協調、及時的方式私下向受影響的供應商報告漏洞,以確保全球網路安全生態系統的安全。 為與供應商和研究社群互動, Team82 邀請您下載並分享我們的協調披露政策。 Team82 當我們發現產品和服務中的漏洞時,將遵守此報告和披露流程。
