PT-2021-6475 · NetGear · Netgear R7000+6
0Xmitsurugi
+3
·
Publicado
2021-12-01
·
Atualizado
2023-04-05
·
CVE-2022-27644
CVSS v3.1
8.8
Alta
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
NETGEAR R6700v3 versão 1.0.4.120 10.0.91
NETGEAR R6400v2 (versões afetadas não especificadas)
NETGEAR R6900P (versões afetadas não especificadas)
NETGEAR R7000 (versões afetadas não especificadas)
NETGEAR R7000P (versões afetadas não especificadas)
NETGEAR RS400 (versões afetadas não especificadas)
NETGEAR CBR40 (versões afetadas não especificadas)
Descrição
Esta vulnerabilidade permite que invasores na mesma rede comprometam a integridade das informações baixadas em instalações afetadas de roteadores NETGEAR. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica está presente no download de arquivos via HTTPS, resultante da falta de validação adequada do certificado apresentado pelo servidor. Um invasor pode aproveitar isso em conjunto com outras vulnerabilidades para executar código arbitrário no contexto de root.
Recomendações
Para o NETGEAR R6700v3 versão 1.0.4.120 10.0.91, considere desativar o recurso de download de arquivos via HTTPS até que uma correção esteja disponível.
Para o NETGEAR R6400v2, NETGEAR R6900P, NETGEAR R7000, NETGEAR R7000P, NETGEAR RS400 e NETGEAR CBR40, no momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Netgear Cbr40
Netgear R6400V2
Netgear R6700V3
Netgear R6900P
Netgear R7000
Netgear R7000P
Netgear Rs400