PT-2021-14746 · Zte · Zxhn H168N

Publicado

2021-06-10

·

Atualizado

2026-05-28

·

CVE-2021-21735

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas ZXHN H168N versões anteriores a V3.5.0 EG1T4 TE
Description Existe um vazamento de informações devido a configurações de permissão inadequadas. Um invasor com permissões de usuário comum pode obter informações confidenciais do usuário, especificamente segredos de PPPoE e WLAN, sem autenticação. Isso ocorre porque os endpoints em '/wizard page/' utilizam uma decisão de lista branca (whitelist) frágil, levando a uma classificação de rota incorreta no firmware e à exposição de segredos através de manipuladores de configuração. Em algumas implementações, esses dados de assinantes vazados podem ser usados para obter acesso de administrador e comprometer a segurança sem fio. Além disso, isso pode fazer parte de uma cadeia entregue via navegador, onde a vítima é atraída por um ponto de acesso malicioso ou portal cativo para exfiltrar a senha do Wi-Fi.
Recommendations Atualize para uma versão posterior à V3.5.0 EG1T4 TE. Como medida paliativa temporária, restrinja o acesso aos endpoints '/wizard page/' para minimizar o risco de exploração.

Correção

Improper Preservation of Permissions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2021-21735

Produtos afetados

Zxhn H168N