PT-2022-6203 · Inhand Networks · Inrouter302
Francesco Benvenuto
·
Publicado
2022-05-10
·
Atualizado
2022-05-23
·
CVE-2022-26085
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
InHand Networks InRouter302 versão 3.5.4
Descrição
Existe uma vulnerabilidade de injeção de comando no sistema operacional na funcionalidade wlscan ASP do serviço httpd, permitindo que uma solicitação HTTP especialmente criada leve à execução de comandos arbitrários. Um invasor pode fazer uma solicitação HTTP autenticada para acionar essa vulnerabilidade. A vulnerabilidade pode ser explorada por um invasor remoto para executar comandos arbitrários.
Recomendações
Para o InHand Networks InRouter302 versão 3.5.4, considere desativar a funcionalidade wlscan ASP no serviço httpd até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao serviço httpd para minimizar o risco de execução de comandos arbitrários. Evite usar a funcionalidade wlscan ASP do httpd vulnerável até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Correção
OS Command Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Inrouter302