PT-2024-17161 · Engenius · Engenius Enh1350Ext+2
Liutong
·
Publicado
2024-11-25
·
Atualizado
2024-12-10
·
CVE-2024-11652
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
EnGenius ENH1350EXT, ENS500-AC e ENS620EXT até 20241118
Descrição
Uma vulnerabilidade crítica afeta uma funcionalidade desconhecida do arquivo /admin/sn package/sn https. A manipulação do argumento
https enable leva à injeção de comando. O ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma.Recomendações
Para o EnGenius ENH1350EXT, ENS500-AC e ENS620EXT até 20241118, atualize para o firmware mais recente e aplique todos os patches recomendados para proteger seus sistemas.
Como solução temporária, considere restringir o acesso ao arquivo
/admin/sn package/sn https até que um patch esteja disponível.Evite usar o argumento
https enable no arquivo afetado até que o problema seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Special Elements Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Engenius Enh1350Ext
Engenius Ens500-Ac
Engenius Ens620Ext