PT-2020-10481 · D Link · D-Link Dwl-2600Ap
Raki Ben Hamouda
·
Publicado
2020-03-05
·
Atualizado
2023-04-26
·
CVE-2019-20499
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
D-Link DWL-2600AP versão 4.2.0.15 Rev A
Descrição
O problema é uma vulnerabilidade de injeção de comando autenticado no sistema operacional por meio da funcionalidade “Restaurar Configuração” na interface web. Isso pode ser explorado usando metacaracteres de shell nos parâmetros
configRestore ou configServerip do endpoint admin.cgi?action=config restore.Recomendações
Para o D-Link DWL-2600AP versão 4.2.0.15 Rev A, como solução temporária, considere restringir o acesso à funcionalidade Restaurar Configuração na interface web até que um patch esteja disponível. Evite usar metacaracteres de shell nos parâmetros
configRestore ou configServerip para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
D-Link Dwl-2600Ap