CVE-2020-12266

Wavlink WN530HG4

Wavlink WN575A3

Wavlink WN579G3

Wavlink WN531G3

Wavlink WN533A8

Wavlink WN531A6

Wavlink WN551K1

Wavlink WN535G3

Wavlink WN530H4

Wavlink WN57X93

WN572HG3

Wavlink WN578A2

Wavlink WN579G3

Wavlink WN579X3

Jetstream AC3000/ERAC3000

Foi identificada uma vulnerabilidade em que várias páginas acessíveis externamente não exigem autenticação e armazenam informações do sistema para uso interno. Essas páginas seguem a convenção de nomenclatura live (string).shtml e podem ser acessadas externamente sem autenticação. As informações divulgadas incluem logs de status da interface, endereço IP do dispositivo, endereço MAC do dispositivo, modelo e versão atual do firmware, localização, todos os processos em execução, todas as interfaces e seus status, todos os aluguéis DHCP atuais e os nomes de host associados, todas as outras redes sem fio no alcance do roteador, estatísticas de memória e componentes da configuração do dispositivo, como recursos habilitados.

Para cada um dos dispositivos afetados, restrinja o acesso às páginas acessíveis externamente que seguem a convenção de nomenclatura live (string).shtml para minimizar o risco de exploração.

Como solução temporária, considere desativar o acesso externo a essas páginas até que um patch esteja disponível.

Evite usar essas páginas para atualizar painéis e outras estatísticas até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade