CVE-2026-38057 in Evolution iQ-Series terminalsinformazioni

Riassunto

di VulDB • 10/07/2026

Il dispositivo iDirect iQ200 non convalida i token CSRF sugli endpoint dell'API che modificano lo stato dopo l'autenticazione. L'endpoint /api/reboot accetta richieste POST autenticate esclusivamente tramite un cookie di sessione privo dell'attributo SameSite. Un attaccante remoto può ospitare una pagina web malevola che, quando visitata da un amministratore autenticato, invia automaticamente una richiesta POST cross-site (CSRF) causando il riavvio immediato del dispositivo e la perdita del collegamento satellitare. Attacchi ripetuti possono mantenere uno stato di negazione del servizio (DoS).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

Icscert

Prenotare

06/04/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00308

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!