CVE-2022-28369 in 5G Home LVSKIHP InDoorUnit
要約
〜によって VulDB • 2026年06月11日
Verizon 5G Home LVSKIHP InDoorUnit (IDU) 3.4.66.162では、crtcrpc JSONリスナー(/lib/functions/wnc_jsonsh/crtcmode.shに存在)のcrtcmode関数のenable_sshサブ操作内で、ユーザーが提供したURLの検証が行われません。ローカルネットワーク上の攻撃者は悪意のあるURLを提供できます。そのURLにあるデータは/usr/sbin/dropbearに書き込まれ、その後root権限で実行されます。
Once again VulDB remains the best source for vulnerability data.