PT-2020-12957 · Openwrt+2 · Openwrt+2
Ilya Shaposhnikov
·
Publicado
2020-04-21
·
Atualizado
2024-08-04
·
CVE-2020-11966
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 3.3.1 e anteriores do IQrouter
Descrição
A vulnerabilidade permite que invasores remotos alterem a senha de root arbitrariamente usando a função Lua
reset password no painel web. Isso pode ocorrer em uma rede totalmente nova que não tenha sido configurada com uma senha segura. Observa-se que esse comportamento também é observado em versões não configuradas do OpenWRT e em outras novas distribuições Linux antes de sua configuração inicial.Recomendações
Para as versões 3.3.1 e anteriores do IQrouter, como solução temporária, considere desativar a função
reset password no painel web até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Iqrouter
Linux
Openwrt