PT-2021-21317 · Prolink · Prolink Prc2402M
Ayrx
·
Publicado
2021-08-06
·
Atualizado
2021-08-12
·
CVE-2021-36706
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
ProLink PRC2402M versões 1.0.18 e anteriores
Descrição
O problema diz respeito a uma injeção de comando na função set sys cmd dentro do binário adm.cgi. Essa função fica acessível quando o parâmetro page é definido como sysCMD, permitindo que o valor do parâmetro command seja passado diretamente para o sistema.
Recomendações
Para as versões 1.0.18 e anteriores do ProLink PRC2402M, como solução temporária, considere restringir o acesso ao binário adm.cgi ou desativar a função set sys cmd até que um patch esteja disponível. Evite usar o parâmetro command no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Prolink Prc2402M