PT-2021-23803 · Victure · Victure Wr1200
Publicado
2021-11-30
·
Atualizado
2021-12-03
·
CVE-2021-43283
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Victure WR1200, versões 1.0.0 a 1.0.3
Descrição
Foi detectada uma vulnerabilidade de injeção de comando na interface web do dispositivo, permitindo que um invasor com credenciais válidas injete comandos shell arbitrários para serem executados pelo dispositivo com privilégios de root. Isso ocorre nos recursos
ping e traceroute, permitindo que um invasor abra um shell reverso no dispositivo com privilégios de root.Recomendações
Para as versões 1.0.0 a 1.0.3, como solução temporária, considere desativar os recursos
ping e traceroute até que um patch esteja disponível. Restrinja o acesso à interface web para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Victure Wr1200