PT-2021-14746 · Zte · Zxhn H168N
Publicado
2021-06-10
·
Atualizado
2026-05-28
·
CVE-2021-21735
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
ZXHN H168N versões anteriores a V3.5.0 EG1T4 TE
Description
Existe um vazamento de informações devido a configurações de permissão inadequadas. Um invasor com permissões de usuário comum pode obter informações confidenciais do usuário, especificamente segredos de PPPoE e WLAN, sem autenticação. Isso ocorre porque os endpoints em '/wizard page/' utilizam uma decisão de lista branca (whitelist) frágil, levando a uma classificação de rota incorreta no firmware e à exposição de segredos através de manipuladores de configuração. Em algumas implementações, esses dados de assinantes vazados podem ser usados para obter acesso de administrador e comprometer a segurança sem fio. Além disso, isso pode fazer parte de uma cadeia entregue via navegador, onde a vítima é atraída por um ponto de acesso malicioso ou portal cativo para exfiltrar a senha do Wi-Fi.
Recommendations
Atualize para uma versão posterior à V3.5.0 EG1T4 TE.
Como medida paliativa temporária, restrinja o acesso aos endpoints '/wizard page/' para minimizar o risco de exploração.
Correção
Improper Preservation of Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zxhn H168N