PT-2020-12459 · Wavlink+1 · Wavlink Wn572Hp3+9
Publicado
2020-05-07
·
Atualizado
2022-04-28
·
CVE-2020-10974
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Wavlink WN575A3
Wavlink WN579G3
Wavlink WN531A6
Wavlink WN535G3
Wavlink WN530H4
Wavlink WN57X93
Wavlink WN572HG3
Wavlink WN575A4
Wavlink WN578A2
Wavlink WN579X3
Jetstream AC3000/ERAC3000
Descrição
Foi descoberta uma vulnerabilidade que afeta um recurso de backup, na qual uma solicitação POST maliciosa retorna a configuração atual do dispositivo em texto simples, incluindo a senha de administrador. Não é necessária autenticação.
Recomendações
Para o Wavlink WN575A3, considere desativar o recurso de backup até que uma correção esteja disponível.
Para o Wavlink WN579G3, restrinja o acesso ao recurso de backup para minimizar o risco de exploração.
Para o Wavlink WN531A6, Wavlink WN535G3, Wavlink WN530H4, Wavlink WN57X93, Wavlink WN572HG3, Wavlink WN575A4, Wavlink WN578A2, Wavlink WN579X3 e Jetstream AC3000/ERAC3000, evite usar o recurso de backup até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Jetstream Ac3000/Erac3000
Wavlink Wn530H4
Wavlink Wn531A6
Wavlink Wn535G3
Wavlink Wn572Hp3
Wavlink Wn575A3
Wavlink Wn575A4
Wavlink Wn578A2
Wavlink Wn579X3
Wavlink Wn57X93