Không cần mật khẩu, không cần xác thực: Tin tặc có thể giành quyền root trên UniFi OS Server chỉ trong vài bước

[Chi Le]

Bản tin tư vấn bảo mật số 064 cảnh báo về một chuỗi lỗ hổng nghiêm trọng trong UniFi OS Server có thể bị khai thác để thực thi mã từ xa (RCE) mà không cần xác thực, từ đó giúp tin tặc giành toàn quyền kiểm soát hệ thống. Chuỗi tấn công này được hình thành từ nhiều điểm yếu kết hợp với nhau, gồm cơ chế vượt qua lớp xác thực, lỗi xử lý đường dẫn không nhất quán và lỗ hổng chèn lệnh trong dịch vụ cập nhật gói phần mềm. Khi các lỗ hổng được kết hợp, kẻ...

Đọc bài gốc tại đây