H0Lyduck

**Name of the Vulnerable Software and Affected Versions** LB-LINK AC1900 Router version 1.0.2 **Description** The issue concerns an os command injection vulnerability. It is related to the `/goform/set cmd` endpoint and the `websGetVar` variable. **Recommendations** For LB-LINK AC1900 Router version 1.0.2, consider restricting access to the `/goform/set cmd` endpoint to minimize the risk of exploitation. Avoid using the `websGetVar` variable in the affected endpoint until the issue is resolved. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Roteador LB-LINK AC1900 versão 1.0.2 **Descrição** O problema refere-se a uma vulnerabilidade de injeção de comandos do sistema operacional, afetando especificamente o endpoint `/goform/set blacklist`, onde as variáveis `mac` e `enable` estão envolvidas. **Recomendações** Para o Roteador LB-LINK AC1900 versão 1.0.2, evite utilizar o endpoint `/goform/set blacklist` até que o problema seja resolvido. Como solução temporária, considere restringir o acesso a este endpoint para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Roteador LB-LINK AC1900 versão 1.0.2 **Descrição** Foi identificada uma falha crítica na função `websGetVar` do arquivo `/goform/set manpwd`. A manipulação do argumento `routepwd` resulta em injeção de comandos do sistema operacional. É possível executar o ataque remotamente. O exploit foi divulgado publicamente. **Recomendações** Para o Roteador LB-LINK AC1900 versão 1.0.2, como medida temporária de contorno, considere restringir o acesso ao endpoint `/goform/set manpwd` para minimizar o risco de exploração. Evite utilizar o argumento `routepwd` no endpoint afetado até que a falha seja corrigida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.