CVE-2021-20138

**Nome do software vulnerável e versões afetadas:

Roteador Gryphon Tower (versões afetadas não especificadas)

Descrição:

Existe uma vulnerabilidade de injeção de comando sem autenticação na interface web do roteador Gryphon Tower, localizada em “/cgi-bin/luci/rc”. Isso permite que um invasor remoto não autenticado na mesma rede execute comandos como root no dispositivo, enviando um pacote malicioso especialmente criado para a interface web. A vulnerabilidade está relacionada a vários parâmetros.

Recomendações:

Como solução temporária, considere restringir o acesso ao endpoint “/cgi-bin/luci/rc” até que uma correção esteja disponível.

Evite usar os parâmetros vulneráveis no endpoint da API afetado até que a vulnerabilidade seja resolvida.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.