PT-2020-20286 · Linux+1 · Linux+1
Publicado
2020-04-23
·
Atualizado
2021-07-21
·
CVE-2020-8797
CVSS v2.0
6.9
Média
| Vetor | AV:L/AC:M/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Juplink RX4-1500 versão 1.0.3
Descrição
A vulnerabilidade permite que invasores remotos obtenham acesso de root ao subsistema Linux por meio de uma chamada exec não sanitizada, também conhecida como injeção de linha de comando. Isso pode ocorrer se o serviço telnetd, não documentado, estiver habilitado e o invasor conseguir se autenticar como administrador a partir da rede local.
Recomendações
Para o Juplink RX4-1500 versão 1.0.3, considere desativar o serviço telnetd não documentado para minimizar o risco de exploração. Além disso, restrinja a autenticação de administrador a partir da rede local para reduzir a superfície de ataque. Como solução temporária, evite usar a chamada exec até que um patch esteja disponível.
Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Juplink Rx4-1500
Linux