PT-2020-13880 · Trendnet · Trendnet Tew-827Dru
Publicado
2020-06-15
·
Atualizado
2020-06-17
·
CVE-2020-14075
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
TRENDnet TEW-827DRU, versões até 2.06B04
Descrição
O problema diz respeito a injeções de comando no arquivo apply.cgi por meio de ações específicas, incluindo pppoe connect, ru pppoe connect ou dhcp connect, com a chave
wan ifname (ou wan0 dns), permitindo que um usuário autenticado execute comandos arbitrários no dispositivo.Recomendações
Para as versões do TRENDnet TEW-827DRU até a 2.06B04, considere desativar o acesso ao arquivo apply.cgi ou restringir o uso das ações pppoe connect, ru pppoe connect e dhcp connect até que um patch esteja disponível. Evite usar as chaves
wan ifname e wan0 dns no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Trendnet Tew-827Dru