Уязвимость CVE-2021-20090 позволяет получить доступ к любому скрипту веб-интерфейса без прохождения аутентификации. Суть уязвимости заключается в том, что в веб-интерфейсе некоторые каталоги, через которые отправляются изображения, файлы CSS и сценарии JavaScript, доступны без аутентификации. В этом случае проверка каталогов, к которым разрешен доступ без аутентификации, выполняется с использованием начальной маски. Указание символов «../» в путях к родительскому каталогу блокируется прошивкой, но использование комбинации «../» игнорируется. Таким образом, можно открывать защищенные страницы при отправке таких запросов,
…