CVE-2021-27272

NETGEAR ProSAFE Network Management System versão 1.6.0.26

Esta vulnerabilidade permite que invasores remotos excluam arquivos arbitrários nas instalações afetadas, criando potencialmente uma condição de negação de serviço. Embora seja necessária autenticação, o mecanismo existente pode ser contornado. A falha existe na classe ReportTemplateController, onde o parâmetro path não é validado adequadamente antes de ser utilizado em operações com arquivos.

Para o Sistema de Gerenciamento de Rede NETGEAR ProSAFE versão 1.6.0.26, considere desativar a classe ReportTemplateController até que um patch esteja disponível para evitar possíveis explorações. Restrinja o acesso a operações de arquivo para minimizar o risco de condições de negação de serviço. Evite usar caminhos fornecidos pelo usuário em operações de arquivo até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.