CVE-2020-27861

NETGEAR Orbi versão 2.5.1.16

Esta vulnerabilidade permite que invasores na mesma rede executem código arbitrário em instalações afetadas dos roteadores NETGEAR Orbi. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica existe no utilitário UA Parser. Uma opção Host Name maliciosamente criada em uma solicitação DHCP pode acionar a execução de uma chamada de sistema composta por uma string fornecida pelo usuário. Um invasor pode aproveitar essa vulnerabilidade para executar código no contexto de root.

Para a versão 2.5.1.16 do NETGEAR Orbi, considere desativar o utilitário UA Parser até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao processamento de solicitações DHCP do roteador para minimizar o risco de exploração. Evite usar a opção Host Name em solicitações DHCP até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.