PT-2020-13037 · Vpncrypt · Vpncrypt M10
Publicado
2020-08-12
·
Atualizado
2021-07-21
·
CVE-2020-12106
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
VPNCrypt M10 versão 2.6.5
Descrição
O problema diz respeito ao portal da Web do módulo WiFi, que permite que usuários não autenticados enviem solicitações HTTP POST para funções administrativas críticas. Isso inclui a alteração das credenciais da conta de administrador ou a conexão do produto a um ponto de acesso não autorizado.
Recomendações
Para o VPNCrypt M10 versão 2.6.5, considere restringir o acesso ao portal da Web do módulo WiFi para impedir que usuários não autenticados enviem solicitações HTTP POST para funções administrativas até que uma correção esteja disponível. Como solução alternativa temporária, limite a capacidade de alterar as credenciais da conta de administrador e impeça conexões com pontos de acesso desconhecidos.
Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vpncrypt M10