PT-2022-6155 · Mikrotik · Mikrotik Routeros
Nns
·
Publicado
2022-05-08
·
Atualizado
2022-10-01
·
CVE-2022-34960
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
MikroTik RouterOS versão 7.4beta4
Descrição
O problema está relacionado ao pacote de contêineres no MikroTik RouterOS, que permite que um invasor crie pontos de montagem apontando para links simbólicos. Esses links podem ser resolvidos para locais no dispositivo host, permitindo que o invasor monte qualquer arquivo arbitrário em qualquer local no host. Isso se deve à resolução incorreta do link antes do acesso a um arquivo, o que pode ser explorado por um invasor remoto.
Recomendações
Para o MikroTik RouterOS versão 7.4beta4, considere desativar o pacote de contêineres até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao pacote de contêineres para minimizar o risco de montagem arbitrária de arquivos. Evite usar o pacote de contêineres para montar arquivos até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Link Following
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mikrotik Routeros