PT-2020-12457 · Wavlink · Wavlink Wn531P3+2
Publicado
2020-05-07
·
Atualizado
2022-04-29
·
CVE-2020-10972
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Wavlink WN530HG4
Wavlink WN531G3
Wavlink WN572HG3
Descrição
Foi descoberta uma falha em que uma página, especificamente uma determinada página live ?.shtml com a variável
syspasswd, fica exposta e contém a senha atual do administrador em texto simples em seu código-fonte. Não é necessária autenticação para acessar essa página.Recomendações
Para o Wavlink WN530HG4, restrinja o acesso à página live ?.shtml para minimizar o risco de exploração.
Para o Wavlink WN531G3, evite usar a variável
syspasswd na página afetada até que a vulnerabilidade seja resolvida.Para o Wavlink WN572HG3, considere desativar o acesso à página que contém a senha de administrador em texto simples até que uma correção esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Missing Authentication
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Wavlink Wn530H4
Wavlink Wn531P3
Wavlink Wn572Hp3