PT-2020-12456 · Wavlink+1 · Wavlink Wn551K1+11
Publicado
2020-05-07
·
Atualizado
2020-12-04
·
CVE-2020-10971
CVSS v2.0
9.3
Alta
| Vetor | AV:N/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Wavlink WN530HG4
Wavlink WN575A3
Wavlink WN579G3
Wavlink WN531G3
Wavlink WN533A8
Wavlink WN531A6
Wavlink WN551K1
Wavlink WN535G3
Wavlink WN530H4
Wavlink WN57X93
WN572HG3
Wavlink WN578A2
Wavlink WN579G3
Wavlink WN579X3
Jetstream AC3000/ERAC3000
Descrição
Foi descoberta uma vulnerabilidade em que uma solicitação POST maliciosa pode ser enviada para “adm.cgi”, resultando na execução do comando fornecido caso haja uma sessão ativa no momento. A solicitação POST em si não é validada para garantir que tenha sido originada da sessão ativa.
Recomendações
Para todos os dispositivos Wavlink afetados, considere desativar o acesso ao endpoint “adm.cgi” até que uma correção esteja disponível.
Restrinja o acesso à interface administrativa para minimizar o risco de exploração.
Evite usar o dispositivo com uma sessão ativa até que a vulnerabilidade seja resolvida.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jetstream Ac3000
Wn572Hg3
Wavlink Wn530H4
Wavlink Wn531A6
Wavlink Wn531P3
Wavlink Wn533A8
Wavlink Wn535G3
Wavlink Wn551K1
Wavlink Wn575A3
Wavlink Wn578A2
Wavlink Wn579X3
Wavlink Wn57X93