PT-2024-16274 · Wavlink · Wavlink Wn530H4+1
Stellar Lab
·
Publicado
2024-10-27
·
Atualizado
2024-11-13
·
CVE-2024-10429
CVSS v2.0
8.3
Alta
| Vetor | AV:N/AC:L/Au:M/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
WAVLINK WN530H4, versões até 20221028
WAVLINK WN530HG4, versões até 20221028
WAVLINK WN572HG3, versões até 20221028
Descrição
Foi encontrada uma vulnerabilidade crítica que afeta a função
set ipv6 do arquivo internet.cgi. A manipulação dos argumentos IPv6OpMode, IPv6IPAddr, IPv6WANIPAddr e IPv6GWAddr leva à injeção de comando. É possível lançar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma.Recomendações
Para as versões do WAVLINK WN530H4 até 20221028, considere desativar a função
set ipv6 no arquivo internet.cgi até que uma correção esteja disponível.Para as versões do WAVLINK WN530HG4 até 20221028, considere desativar a função
set ipv6 no arquivo internet.cgi até que um patch esteja disponível.Para as versões do WAVLINK WN572HG3 até 20221028, considere desativar a função
set ipv6 no arquivo internet.cgi até que um patch esteja disponível.Como solução alternativa temporária, evite usar os argumentos
IPv6OpMode, IPv6IPAddr, IPv6WANIPAddr e IPv6GWAddr na função afetada até que o problema seja resolvido.Exploit
Correção
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wavlink Wn530H4
Wavlink Wn572Hp3