CVE-2020-28899

**Nome do software vulnerável e versões afetadas:

ZyXEL LTE4506-M606 versão V1.00(ABDO.2)C0

Descrição:

O script CGI da Web no dispositivo não exige autenticação, permitindo que invasores remotos não autenticados utilizem todos os recursos fornecidos pelo roteador. Isso pode ser feito enviando dados de ação JSON manipulados para o endpoint da API “/cgi-bin/gui.cgi”. Exemplos de ações possíveis incluem alterar a senha do roteador, recuperar a senha do Wi-Fi, enviar uma mensagem SMS ou modificar o encaminhamento de IP para acessar a rede interna.

Recomendações:

Para o ZyXEL LTE4506-M606 versão V1.00(ABDO.2)C0, considere restringir o acesso ao endpoint da API “/cgi-bin/gui.cgi” até que uma correção esteja disponível. Como solução temporária, limite o uso de recursos que possam ser explorados por essa vulnerabilidade, como alterar a senha do roteador ou modificar as configurações de encaminhamento de IP.