PT-2021-9676 · Mofi Network · Mofi4500-4Gxelte
Publicado
2021-02-01
·
Atualizado
2021-07-21
·
CVE-2020-13859
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Mofi Network MOFI4500-4GXeLTE versão 4.0.8-std
Descrição
Foi descoberta uma falha que permite que a conta de sistema não documentada
mofidev faça login na interface de gerenciamento “cgi-bin/luci/quick/wizard” sem senha. Isso se deve a um erro de formato no arquivo /etc/shadow e a um bug de lógica na estrutura da interface de configuração LuCI - OpenWrt, que pode ser explorada através do uso indevido do recurso de recuperação de senha esquecida.Recomendações
Para o Mofi Network MOFI4500-4GXeLTE versão 4.0.8-std, considere desativar o acesso à interface de gerenciamento
cgi-bin/luci/quick/wizard até que um patch esteja disponível para impedir a exploração do bug lógico na estrutura LuCI. Além disso, restrinja o uso da conta de sistema não documentada mofidev para minimizar o risco de acesso não autorizado.Correção
Improper Authentication
Improper Handling of Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mofi4500-4Gxelte