yamaha rtx830_firmware 从非可信控制范围包含功能例程

CVE编号

CVE-2021-20843

利用情况

暂无

补丁情况

N/A

披露时间

2021-11-25

漏洞描述

Cross-site script inclusion vulnerability in the Web GUI of RTX830 Rev.15.02.17 and earlier, NVR510 Rev.15.01.18 and earlier, NVR700W Rev.15.00.19 and earlier, and RTX1210 Rev.14.01.38 and earlier allows a remote authenticated attacker to alter the settings of the product via a specially crafted web page.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVNVU91161784.html
https://business.ntt-east.co.jp/topics/2021/11_09.html
https://jvn.jp/en/vu/JVNVU91161784/index.html
https://www.ntt-west.co.jp/smb/kiki_info/info/211109.html

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	ntt-west	biz_box_nvr510_firmware	*		Up to (excluding) 15.01.18
	运行在以下环境
	系统	ntt-west	biz_box_nvr700w_firmware	*		Up to (including) 15.00.19
	运行在以下环境
	系统	ntt-west	biz_box_rtx1210_firmware	*		Up to (including) 14.01.38
	运行在以下环境
	系统	ntt-west	biz_box_rtx830_firmware	*		Up to (including) 15.02.17
	运行在以下环境
	系统	yamaha	nvr510_firmware	*		Up to (including) 15.01.18
	运行在以下环境
	系统	yamaha	nvr700w_firmware	*		Up to (including) 15.00.19
	运行在以下环境
	系统	yamaha	rtx1210_firmware	*		Up to (including) 14.01.38
	运行在以下环境
	系统	yamaha	rtx830_firmware	*		Up to (including) 15.02.17
	运行在以下环境
	硬件	ntt-west	biz_box_nvr510	-	-
	运行在以下环境
	硬件	ntt-west	biz_box_nvr700w	-	-
	运行在以下环境
	硬件	ntt-west	biz_box_rtx1210	-	-
	运行在以下环境
	硬件	ntt-west	biz_box_rtx830	-	-
	运行在以下环境
	硬件	yamaha	nvr510	-	-
	运行在以下环境
	硬件	yamaha	nvr700w	-	-
	运行在以下环境
	硬件	yamaha	rtx1210	-	-
	运行在以下环境
	硬件	yamaha	rtx830	-	-
查看完整数据

CVSS3评分 5.4

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 低
• 影响范围 已更改
• 用户交互 需要
• 可用性 无
• 保密性 低
• 完整性 低

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CWE-ID 漏洞类型 CWE-829 从非可信控制范围包含功能例程