PT-2020-20138 · Ruckus · Ruckus Zoneflex R500
Publicado
2020-01-29
·
Atualizado
2020-01-31
·
CVE-2020-8438
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Ruckus ZoneFlex R500 versão 104.0.0.0.1347
Descrição
A vulnerabilidade permite que um invasor autenticado execute comandos arbitrários do sistema operacional por meio do formulário oculto
/forms/nslookupHandler. Isso pode ser demonstrado usando o parâmetro nslookuptarget com uma subcadeia como |cat${IFS}.Recomendações
Para o Ruckus ZoneFlex R500 versão 104.0.0.0.1347, como solução temporária, considere restringir o acesso ao formulário
/forms/nslookupHandler até que um patch esteja disponível. Evite usar o parâmetro nslookuptarget no formulário afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ruckus Zoneflex R500