CVE-2020-36178

**Nome do software vulnerável e versões afetadas:

TP-Link TL-WR840N versão 6 EU 0.9.1 4.16

Descrição:

A vulnerabilidade permite a injeção de comandos no sistema operacional porque uma string bruta inserida pela interface web (em um campo de endereço IP) é usada diretamente para chamar a função da biblioteca do sistema (para o iptables). Isso está especificamente relacionado à função oal ipt addBridgeIsolationRules, que não é a única função que chama util execSystem.

Recomendações:

Para o TP-Link TL-WR840N versão 6 EU 0.9.1 4.16, considere desativar a função oal ipt addBridgeIsolationRules até que um patch esteja disponível para impedir a injeção de comandos no sistema operacional. Restrinja o acesso ao campo de endereço IP na interface web para minimizar o risco de exploração. Evite usar o campo de endereço IP na interface web afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.