PT-2021-17378 · NetGear · Netgear Prosafe Network Management System
Rgod
·
Publicado
2021-03-26
·
Atualizado
2021-03-30
·
CVE-2021-27274
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
NETGEAR ProSAFE Network Management System versão 1.6.0.26
Descrição
Esta vulnerabilidade permite que invasores remotos executem código arbitrário em instalações afetadas. Não é necessária autenticação para explorar esta vulnerabilidade. A falha existe na classe MFileUploadController devido à falta de validação adequada de um caminho fornecido pelo usuário antes de usá-lo em operações de arquivo. Um invasor pode aproveitar esta vulnerabilidade para executar código no contexto do SYSTEM.
Recomendações
Para o Sistema de Gerenciamento de Rede NETGEAR ProSAFE versão 1.6.0.26, considere desativar a classe MFileUploadController até que um patch esteja disponível para impedir a exploração. Restrinja o acesso a operações de arquivo para minimizar o risco de execução de código arbitrário. Evite usar caminhos fornecidos pelo usuário em operações de arquivo até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Correção
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Netgear Prosafe Network Management System