PT-2022-6206 · Inhand Networks · Inrouter302
Francesco Benvenuto
·
Publicado
2022-05-10
·
Atualizado
2022-05-23
·
CVE-2022-26510
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
InHand Networks InRouter302 versão 3.5.37
Descrição
O problema está relacionado à verificação incorreta da assinatura criptográfica no procedimento de atualização do firmware do InHand Networks InRouter302. Isso pode ser explorado por um invasor remoto por meio de uma solicitação HTTP especialmente criada para atualizar o firmware. Um invasor pode desencadear esse problema enviando uma sequência de solicitações.
Recomendações
Para o InHand Networks InRouter302 versão 3.5.37, considere restringir o acesso à funcionalidade de atualização de firmware até que um patch esteja disponível. Como solução alternativa temporária, evite usar o mecanismo de atualização de firmware vulnerável. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Inrouter302