PT-2022-3464 · Inhand Networks · Inrouter302
Francesco Benvenuto
·
Publicado
2022-05-12
·
Atualizado
2022-05-23
·
CVE-2022-27172
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
InHand Networks InRouter302 versão 3.5.37
Descrição
O problema está relacionado ao uso de credenciais codificadas no InHand Networks InRouter302, especificamente na funcionalidade de fábrica do console. Isso pode ser explorado por um invasor remoto para executar ações arbitrárias. Uma solicitação de rede especialmente criada pode levar à execução de operações privilegiadas, permitindo que um invasor envie uma sequência de solicitações para acionar a vulnerabilidade.
Recomendações
Para o InHand Networks InRouter302 versão 3.5.37, considere alterar a senha codificada na funcionalidade console infactory para evitar a exploração. Como solução temporária, restrinja o acesso à funcionalidade console infactory até que um patch esteja disponível. Evite usar as credenciais padrão para a funcionalidade console infactory a fim de minimizar o risco de exploração.
Exploit
Correção
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Inrouter302