PT-2020-13886 · Trendnet · Tew-827Dru
Publicado
2020-06-15
·
Atualizado
2020-06-17
·
CVE-2020-14081
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
TRENDnet TEW-827DRU, versões até 2.06B04
Descrição
O problema diz respeito a injeções de comando no endpoint apply.cgi por meio da ação send log email com as chaves
auth acname ou auth passwd, permitindo que um usuário autenticado execute comandos arbitrários no dispositivo.Recomendações
Para as versões do TRENDnet TEW-827DRU até a 2.06B04, considere desativar o acesso ao endpoint apply.cgi, especificamente à ação send log email, até que uma correção esteja disponível. Restrinja o uso das chaves
auth acname e auth passwd para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tew-827Dru