PT-2020-5337 · D Link · Dsr-500+3
Publicado
2020-08-11
·
Atualizado
2021-07-21
·
CVE-2020-25757
CVSS v3.1
8.8
Alta
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
D-Link DSR-150, versões 3.14 a 3.17
D-Link DSR-250, versões 3.14 a 3.17
D-Link DSR-500, versões 3.14 a 3.17
D-Link DSR-1000AC versões 3.14 a 3.17
Descrição
A falta de validação de entrada e controles de acesso nos CGIs Lua nos roteadores VPN D-Link DSR pode resultar na passagem de entradas arbitrárias para APIs de comando do sistema, levando à execução arbitrária de comandos com privilégios de root.
Recomendações
Para o D-Link DSR-150 versão 3.14, atualize para uma versão que inclua a validação de entrada e os controles de acesso necessários.
Para o D-Link DSR-150 versão 3.17, atualize para uma versão que inclua a validação de entrada e os controles de acesso necessários.
Para o D-Link DSR-250 versão 3.14, atualize para uma versão que inclua a validação de entrada e os controles de acesso necessários.
Para o D-Link DSR-250 versão 3.17, atualize para uma versão que inclua a validação de entrada e os controles de acesso necessários.
Para o D-Link DSR-500 versão 3.14, atualize para uma versão que inclua a validação de entrada e os controles de acesso necessários.
Para o D-Link DSR-500 versão 3.17, atualize para uma versão que inclua a validação de entrada e os controles de acesso necessários.
Para o D-Link DSR-1000AC versão 3.14, atualize para uma versão que inclua a validação de entrada e os controles de acesso necessários.
Para o D-Link DSR-1000AC versão 3.17, atualize para uma versão que inclua a validação de entrada e os controles de acesso necessários.
Como solução alternativa temporária, considere desativar os CGIs Lua
Correção
RCE
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Dsr-1000Ac
Dsr-150
Dsr-250
Dsr-500