CVE-2021-20153

**Nome do software vulnerável e versões afetadas:

Trendnet AC2600 TEW-827DRU versão 2.08B01

Descrição:

A funcionalidade BitTorrent no dispositivo afetado contém uma vulnerabilidade relacionada a links simbólicos. Se ativada, essa funcionalidade está vulnerável a um ataque de link simbólico que poderia levar à execução remota de código no dispositivo. Um invasor poderia explorar essa vulnerabilidade inserindo um pen drive com um link simbólico malicioso, permitindo que o cliente BitTorrent grave downloads em locais arbitrários no sistema de arquivos do dispositivo. Os diretórios vulneráveis incluem “config”, “downloads” e “torrents”, sendo “downloads” o único vetor que permite que arquivos arbitrários sejam baixados para locais arbitrários.

Recomendações:

Para o Trendnet AC2600 TEW-827DRU versão 2.08B01, considere desativar a funcionalidade BitTorrent até que um patch esteja disponível para evitar a potencial execução remota de código. Restrinja o acesso aos diretórios vulneráveis, como “config”, “downloads” e “torrents”, para minimizar o risco de exploração. Evite usar o cliente BitTorrent para baixar arquivos para locais arbitrários no sistema de arquivos do dispositivo. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.