Crestron Multiple Products Command Injection Vulnerability — Multiple Crestron products are vulnerable to command injection via the file_transfer.cgi HTTP endpoint. A remote, unauthenticated attacker can use this vulnerability to execute operating system commands as root.
Multiple Crestron products contain a critical command injection vulnerability in the file_transfer.cgi endpoint that allows unauthenticated remote attackers to execute arbitrary OS commands with root privileges. This vulnerability affects building automation and control systems widely deployed in enterprise environments.
تؤثر هذه الثغرة على أنظمة التحكم في المباني من Crestron المستخدمة في الفنادق والمستشفيات والمباني الحكومية والمؤسسات. يمكن للمهاجمين الوصول إلى الأنظمة دون مصادقة والتحكم الكامل بها. الخطر الحرج يكمن في إمكانية تعطيل البنية التحتية الحيوية والوصول إلى الأنظمة المتصلة.
عدة منتجات Crestron تحتوي على ثغرة حقن أوامر حرجة في نقطة نهاية file_transfer.cgi تسمح للمهاجمين البعيدين غير المصرحين بتنفيذ أوامر نظام تشغيل عشوائية بامتيازات الجذر. تؤثر هذه الثغرة على أنظمة أتمتة المباني والتحكم المنتشرة على نطاق واسع في بيئات المؤسسات.
Immediately update all affected Crestron products to patched versions. Disable or restrict access to the file_transfer.cgi endpoint using network segmentation and firewall rules. Implement network-based intrusion detection to monitor for exploitation attempts. Conduct a security audit of all Crestron deployments to identify vulnerable instances.
قم بتحديث جميع منتجات Crestron المتأثرة إلى الإصدارات المصححة فوراً. قم بتعطيل أو تقييد الوصول إلى نقطة نهاية file_transfer.cgi باستخدام تقسيم الشبكة وقواعد جدار الحماية. قم بتنفيذ كشف الاختراق على مستوى الشبكة لمراقبة محاولات الاستغلال. أجرِ تدقيقاً أمنياً لجميع نشرات Crestron لتحديد الحالات الضعيفة.