PT-2020-12426 · NetGear · Netgear R6700
Pedro Ribeiro
+1
·
Publicado
2020-07-28
·
Atualizado
2020-07-29
·
CVE-2020-10925
CVSS v3.1
8.8
Alta
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
NETGEAR R6700 versão 1.0.4.84 10.0.58
Descrição
Esta vulnerabilidade permite que invasores na mesma rede comprometam a integridade das informações baixadas em instalações afetadas dos roteadores NETGEAR R6700. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica está presente no processo de download de arquivos via HTTPS, resultante da falta de validação adequada do certificado apresentado pelo servidor. Um invasor pode aproveitar isso em conjunto com outras vulnerabilidades para executar código arbitrário no contexto de root.
Recomendações
Para o NETGEAR R6700 versão 1.0.4.84 10.0.58, considere desativar o recurso de download de arquivos via HTTPS até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso à funcionalidade de download do roteador para minimizar o risco de execução de código arbitrário. Evite usar o roteador para downloads confidenciais até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Netgear R6700