PT-2021-15414 · Mercusys · Mercusys Mercury X18G
Publicado
2021-01-07
·
Atualizado
2021-01-12
·
CVE-2021-23242
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
MERCUSYS Mercury X18G versão 1.0.5
Descrição
A vulnerabilidade permite o acesso a diretórios através de ../ no servidor UPnP. Um exemplo disso é demonstrado pelo URI “/../../conf/template/uhttpd.json”, que ilustra a vulnerabilidade.
Recomendações
Para o MERCUSYS Mercury X18G versão 1.0.5, considere restringir o acesso ao servidor UPnP para minimizar o risco de exploração. Como solução temporária, evite usar a sequência ../ em solicitações de URI ao servidor UPnP até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mercusys Mercury X18G