PT-2020-20384 · Netis · Netis Wf2471
Publicado
2020-02-12
·
Atualizado
2020-02-21
·
CVE-2020-8946
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Netis WF2471 versão 1.2.30142
Descrição
A vulnerabilidade permite que um invasor autenticado execute comandos arbitrários do sistema operacional. Isso é feito através do uso de metacaracteres de shell no parâmetro
log 3g type do endpoint da API “/cgi-bin-igd/sys log clean.cgi”.Recomendações
Para o Netis WF2471 versão 1.2.30142, evite usar o parâmetro
log 3g type no endpoint da API “/cgi-bin-igd/sys log clean.cgi” até que o problema seja resolvido. Como solução temporária, considere restringir o acesso a este endpoint para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Netis Wf2471