PT-2021-6872 · Tp Link · Tp-Link Tl-Wa1201
Pedrib1337
+3
·
Publicado
2021-09-16
·
Atualizado
2022-01-27
·
CVE-2021-35004
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
TP-Link TL-WA1201 versão 1.0.1 Build 20200709 rel.66244(5553)
Descrição
Esta vulnerabilidade permite que invasores remotos executem código arbitrário em instalações afetadas dos pontos de acesso sem fio TP-Link TL-WA1201. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica está no tratamento das respostas DNS. Uma mensagem DNS maliciosamente criada pode provocar um estouro de um buffer de comprimento fixo baseado em pilha. Um invasor pode aproveitar esta vulnerabilidade para executar código no contexto do root.
Recomendações
Para o TP-Link TL-WA1201 versão 1.0.1 Build 20200709 rel.66244(5553), como solução temporária, considere desativar o tratamento de respostas DNS até que um patch esteja disponível. Restrinja o acesso ao módulo de tratamento de DNS para minimizar o risco de exploração. Evite usar mensagens DNS manipuladas no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.
Correção
Stack Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tp-Link Tl-Wa1201