Tag: Ubiquiti

Ubiquiti unifi Video. Eskalacja uprawnień do SYSTEM. Ubiquiti wypłaca nagrodę ~65 000 PLN

09 listopada 2019, 09:33 | W biegu | 1 komentarz
Ubiquiti unifi Video. Eskalacja uprawnień do SYSTEM. Ubiquiti wypłaca nagrodę ~65 000 PLN

Instalujesz pod Windows oprogramowanie do obsługi video. Wszystko fajnie, tylko nieświadomie odpalałeś usługę działającą na localhost (port 7440), która z pośrednictwem mechanizmu WebSocketów wystawiała nieuwierzytelnione, pracujące z uprawnieniami SYSTEM API. API z kolei udostępniało ciekawy ficzer – umożliwiający uruchomienie dowolnej binarki. Całą akcję można zobaczyć na filmiku tutaj. Ubiquiti załatało podatność w wersji v3.10.7…

Czytaj dalej »

Obejście uwierzytelniania w Ubiquiti airMAX/airOS przy pomocy airControl web-UI

18 sierpnia 2017, 15:01 | W biegu | komentarze 3

Opublikowana została informacja o możliwości obejścia uwierzytelniania w Ubiquiti airMAX oraz Ubiquiti airOS, w przypadku, gdy wykorzystywany był interfejs airControl web-UI. Podatność wynika po części z ryzyka i trudności jakie wynikają z prób odwoływania się z poziomu aplikacji WWW do programów i skryptów powłoki systemowej. Niemałe znaczenie miało również wykorzystanie…

Czytaj dalej »