PT-2022-6200 · Inhand Networks · Inrouter302
Francesco Benvenuto
·
Publicado
2022-05-10
·
Atualizado
2022-05-23
·
CVE-2022-26042
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
InHand Networks InRouter302 versão 3.5.4
Descrição
Existe uma vulnerabilidade de injeção de comando devido à falta de neutralização de elementos especiais utilizados no comando do sistema operacional. Isso permite que um invasor remoto execute comandos arbitrários. A vulnerabilidade pode ser acionada pelo envio de uma solicitação de rede especialmente criada para a funcionalidade do binário
daretools.Recomendações
Para o InHand Networks InRouter302 versão 3.5.4, considere restringir o acesso à funcionalidade binária
daretools até que um patch esteja disponível. Como solução temporária, evite usar a funcionalidade vulnerável para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
OS Command Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Inrouter302