PT-2020-10482 · D Link · D-Link Dwl-2600Ap
Raki Ben Hamouda
·
Publicado
2020-03-05
·
Atualizado
2023-04-26
·
CVE-2019-20501
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
D-Link DWL-2600AP versão 4.2.0.15 Rev A
Descrição
O problema é uma vulnerabilidade de injeção de comando autenticado no sistema operacional por meio da funcionalidade “Atualizar Firmware” na interface web. Isso pode ser explorado usando metacaracteres de shell nos parâmetros
firmwareRestore ou firmwareServerip do endpoint admin.cgi?action=upgrade, como “/api/admin.cgi?action=upgrade”.Recomendações
Para o D-Link DWL-2600AP versão 4.2.0.15 Rev A, como solução temporária, considere restringir o acesso ao endpoint
admin.cgi?action=upgrade até que um patch esteja disponível. Evite usar metacaracteres de shell nos parâmetros firmwareRestore ou firmwareServerip para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
D-Link Dwl-2600Ap