CVE-2022-33326

Robustel R1510 versão 3.3.0

Existem várias vulnerabilidades de injeção de comando nas funcionalidades dos pontos de extremidade ajax do web server. Um pacote de rede especialmente criado pode levar à execução de comandos arbitrários. Um invasor pode enviar uma sequência de solicitações para acionar essas vulnerabilidades. O endpoint da API /ajax/config rollback/ é afetado por uma vulnerabilidade de injeção de comando. A função config rollback() também é vulnerável devido à falta de medidas para neutralizar elementos especiais usados no comando do sistema operacional. A exploração da vulnerabilidade pode permitir que um invasor remoto execute comandos arbitrários enviando solicitações especialmente criadas.

Para o Robustel R1510 versão 3.3.0, considere desativar a função config rollback() até que um patch esteja disponível. Restrinja o acesso ao endpoint da API /ajax/config rollback/ para minimizar o risco de exploração. Evite usar a funcionalidade config rollback no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.