PT-2022-12499 · Totolink · Totolink A3100R
Kv
·
Publicado
2022-03-30
·
Atualizado
2022-04-05
·
CVE-2021-46007
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
totolink a3100r versão V5.9c.4577
Descrição
O problema diz respeito a uma vulnerabilidade de injeção de comando no sistema operacional. Ela ocorre porque o backend de uma página executa o comando
ping, e o campo de entrada não filtra adequadamente símbolos especiais, levando a possíveis ataques de injeção de comando.Recomendações
Para o totolink a3100r versão V5.9c.4577, considere restringir o acesso à página vulnerável ou ao campo de entrada até que uma correção adequada esteja disponível. Como solução temporária, evite usar símbolos especiais no campo de entrada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Totolink A3100R