PT-2022-6202 · Inhand Networks · Inrouter302
Francesco Benvenuto
·
Publicado
2022-05-10
·
Atualizado
2022-05-23
·
CVE-2022-21809
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
InHand Networks InRouter302 versão 3.5.4
Descrição
Existe uma falha de gravação de arquivos na funcionalidade upload.cgi do httpd, permitindo que um invasor envie arquivos maliciosos por meio de uma solicitação HTTP especialmente criada. Isso pode resultar no envio arbitrário de arquivos.
Recomendações
Para o InHand Networks InRouter302 versão 3.5.4, considere restringir o acesso à funcionalidade upload.cgi até que um patch esteja disponível. Como solução temporária, evite usar a funcionalidade httpd upload.cgi para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Inrouter302