PT-2022-8685 · Optilink · Optilink Op-Xt71000N
Disguised_Noob
+1
·
Publicado
2022-11-23
·
Atualizado
2022-11-23
·
CVE-2020-23592
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
OPTILINK OP-XT71000N Versão de hardware: V2.2, Versão de firmware: OP V3.3.1-191028
Descrição
Uma vulnerabilidade permite que um invasor remoto não autenticado realize um ataque de falsificação de solicitação entre sites (CSRF) para redefinir a ONU para os padrões de fábrica por meio do endpoint da API “/mgm dev reset.asp”. A redefinição para os padrões de fábrica leva à escalada de privilégios ao fazer login com as credenciais padrão.
Recomendações
Para o OPTILINK OP-XT71000N, versão de hardware: V2.2, versão de firmware: OP V3.3.1-191028, considere desativar o acesso ao endpoint da API “/mgm dev reset.asp” até que um patch esteja disponível para impedir a exploração. Além disso, alterar as credenciais padrão após uma redefinição pode ajudar a mitigar o risco de escalonamento de privilégios. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Optilink Op-Xt71000N