PT-2021-2490 · Openwrt · Openwrt
Jussi Rämo
·
Publicado
2021-03-21
·
Atualizado
2023-05-24
·
CVE-2021-28961
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
OpenWrt 19.07
Descrição:
O problema está relacionado ao pacote DDNS no OpenWrt 19.07, onde o arquivo
detail.lua permite que usuários remotos autenticados injetem comandos arbitrários por meio de solicitações POST no endpoint da API /cgi-bin/luci, especificamente no script detail.lua. Isso pode afetar a confidencialidade, a integridade e a disponibilidade de informações protegidas.Recomendações:
Para o OpenWrt 19.07, considere desativar o script
detail.lua no pacote DDNS como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao pacote DDNS para minimizar o risco de exploração. Evite usar o pacote DDNS até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Command Injection
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Openwrt