CVE-2022-30105

Belkin N300, versão de firmware 1.00.08

O script localizado em “/setting hidden.asp” apresenta várias vulnerabilidades de injeção remota de comandos. Os parâmetros no formulário não são devidamente sanitizados após serem enviados para a interface web em uma solicitação POST. Com parâmetros especialmente criados, é possível injetar um comando do sistema operacional que será executado com privilégios de root, já que a interface web e todos os processos no dispositivo são executados como root.

Para o firmware Belkin N300 versão 1.00.08, considere desativar o acesso ao script “/setting hidden.asp” até que uma correção esteja disponível. Restrinja o acesso à interface web para minimizar o risco de exploração. Evite usar os parâmetros vulneráveis no formulário até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.