PT-2021-17380 · NetGear · Netgear Prosafe Network Management System
Rgod
·
Publicado
2021-03-26
·
Atualizado
2021-03-30
·
CVE-2021-27276
CVSS v3.1
7.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H |
Nome do software vulnerável e versões afetadas
NETGEAR ProSAFE Network Management System versão 1.6.0.26
Descrição
Esta vulnerabilidade permite que invasores remotos excluam arquivos arbitrários nas instalações afetadas, criando potencialmente uma condição de negação de serviço. Embora seja necessária autenticação, o mecanismo existente pode ser contornado. A falha existe na classe MibController, especificamente ao analisar o parâmetro
realName, que não valida adequadamente os caminhos fornecidos pelo usuário antes de usá-los em operações de arquivo.Recomendações
Para o Sistema de Gerenciamento de Rede NETGEAR ProSAFE versão 1.6.0.26, considere restringir o acesso à classe MibController até que um patch esteja disponível. Como solução alternativa temporária, evite usar o parâmetro
realName em operações de arquivo para minimizar o risco de exploração.Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Netgear Prosafe Network Management System