PT-2021-19636 · Asus · Asus Lyra Mini+1
Chris Bellows
+1
·
Publicado
2021-05-06
·
Atualizado
2025-11-10
·
CVE-2021-32030
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do ASUS GT-AC2900 anteriores à 3.0.0.4.386.42643
Versões do Lyra Mini anteriores à 3.0.0.4 384 46630
Descrição
O aplicativo de administração nos dispositivos ASUS GT-AC2900 e Lyra Mini permite a omissão da autenticação ao processar entradas remotas de um usuário não autenticado, levando ao acesso não autorizado à interface de administração. Esta vulnerabilidade está relacionada à função
handle request em router/httpd/httpd.c e à função auth check em web hook.o. Um valor fornecido pelo invasor, 0, corresponde ao valor padrão do dispositivo, 0, em algumas situações. Houve tentativas de explorar essa vulnerabilidade, com 379.868 tentativas relatadas como falhadas devido a um pequeno erro.Recomendações
Para versões do ASUS GT-AC2900 anteriores à 3.0.0.4.386.42643, atualize para a versão 3.0.0.4.386.42643 ou posterior.
Para versões do Lyra Mini anteriores à 3.0.0.4 384 46630, atualize para a versão 3.0.0.4 384 46630 ou posterior.
Como solução temporária, considere desativar os recursos de acesso remoto da WAN para minimizar o risco de exploração.
Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Asus Rt-Ac2900
Asus Lyra Mini