CVE-2022-33328

Robustel R1510 versão 3.3.0

O problema está relacionado a vulnerabilidades de injeção de comando nas funcionalidades dos pontos de extremidade ajax do web server. Um pacote de rede especialmente criado pode levar à execução de comandos arbitrários. Um invasor pode enviar uma sequência de solicitações para acionar essas vulnerabilidades. O endpoint da API /ajax/remove/ é afetado por uma vulnerabilidade de injeção de comando. A vulnerabilidade se deve à falta de medidas para neutralizar elementos especiais usados no comando do sistema operacional, o que pode ser explorado por um invasor remoto para executar comandos arbitrários enviando solicitações especialmente criadas.

Para o Robustel R1510 versão 3.3.0, considere desativar o endpoint da API /ajax/remove/ até que um patch esteja disponível para impedir a exploração da vulnerabilidade de injeção de comando. Restrinja o acesso às funcionalidades dos endpoints ajax do web server para minimizar o risco de exploração. Evite usar a função remove() no software do microprograma VPN até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.