CVE-2020-21884

**Nome do software vulnerável e versões afetadas:

Unibox SMB versão 2.4

UniBox Enterprise Series versão 2.4

UniBox Campus Series versão 2.4

Descrição:

O problema está relacionado a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF). Essa vulnerabilidade pode ser explorada por meio de solicitações HTTP especialmente criadas para determinados pontos de extremidade da API, permitindo potencialmente a reconfiguração do dispositivo. Os pontos de extremidade afetados incluem “/tools/network-trace”, “/list users”, “/list byod?usertype=raduser”, “/dhcp leases” e “/go?rid=202”.

Recomendações:

Para o Unibox SMB versão 2.4, considere restringir o acesso aos pontos de extremidade da API vulneráveis até que uma correção esteja disponível.

Para a série UniBox Enterprise versão 2.4, evite usar os pontos de extremidade vulneráveis, como “/tools/network-trace” e “/list users”, para minimizar o risco de exploração.

Para a UniBox Campus Series versão 2.4, como solução temporária, considere desativar o acesso aos pontos de extremidade “/list byod?usertype=raduser” e “/dhcp leases”.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.