PT-2020-10256 · Ruckus Wireless · Ruckus Wireless Unleashed
Publicado
2020-01-22
·
Atualizado
2020-01-28
·
CVE-2019-19841
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Ruckus Wireless Unleashed versões 200.7.10.102.64 e anteriores
Descrição
A vulnerabilidade permite que invasores remotos executem comandos do sistema operacional por meio de uma solicitação POST com o atributo
xcmd=packet-capture para “admin/ cmdstat.jsp” através do atributo mac. Isso permite que invasores possam obter acesso não autorizado e controle sobre o sistema.Recomendações
Para as versões 200.7.10.102.64 e anteriores, considere restringir o acesso ao endpoint “admin/ cmdstat.jsp” para minimizar o risco de exploração. Como solução temporária, evite usar o atributo
xcmd com o valor packet-capture em solicitações POST para este endpoint até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ruckus Wireless Unleashed