PT-2021-18678 · China Mobile · An Lianbao Wf-1
Publicado
2021-04-29
·
Atualizado
2022-05-03
·
CVE-2021-30231
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Roteador China Mobile An Lianbao WF-1, versão 1.0.1
Descrição
A vulnerabilidade permite que invasores remotos executem comandos arbitrários por meio de metacaracteres de shell em determinados parâmetros. Especificamente, a interface “api/zrDm/set ZRElink” está vulnerável. Os parâmetros que podem ser explorados incluem
bssaddr, abiaddr, devtoken, devid, elinksync e elink proc enable.Recomendações
Para o roteador China Mobile An Lianbao WF-1 versão 1.0.1, como solução temporária, considere restringir o acesso à interface “api/zrDm/set ZRElink” até que um patch esteja disponível. Evite usar os parâmetros
bssaddr, abiaddr, devtoken, devid, elinksync e elink proc enable nesta interface para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
An Lianbao Wf-1