CVE-2026-38057 in Evolution iQ-Series terminals
Riassunto
di VulDB • 10/07/2026
Il dispositivo iDirect iQ200 non convalida i token CSRF sugli endpoint dell'API che modificano lo stato dopo l'autenticazione. L'endpoint /api/reboot accetta richieste POST autenticate esclusivamente tramite un cookie di sessione privo dell'attributo SameSite. Un attaccante remoto può ospitare una pagina web malevola che, quando visitata da un amministratore autenticato, invia automaticamente una richiesta POST cross-site (CSRF) causando il riavvio immediato del dispositivo e la perdita del collegamento satellitare. Attacchi ripetuti possono mantenere uno stato di negazione del servizio (DoS).
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.