PT-2021-13785 · Telus · Telus Wi-Fi Hub
Evan Grant
·
Publicado
2021-10-11
·
Atualizado
2021-10-18
·
CVE-2021-20122
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
**Nome do software vulnerável e versões afetadas:
Telus Wi-Fi Hub (PRV65B444A-S-TS) versão 3.00.20
Descrição:
A vulnerabilidade consiste em uma injeção de comando autenticada em vários parâmetros passados para o endpoint
tr69 cmd.cgi. Um invasor remoto conectado à LAN do roteador e autenticado com uma conta de superusuário poderia explorar essa vulnerabilidade para executar comandos ou obter acesso como root no dispositivo alvo.Recomendações:
Para o Telus Wi-Fi Hub (PRV65B444A-S-TS) versão 3.00.20, considere restringir o acesso ao endpoint
tr69 cmd.cgi até que um patch esteja disponível. Como solução temporária, evite usar parâmetros que possam ser utilizados para injeção de comando no endpoint tr69 cmd.cgi. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Telus Wi-Fi Hub